Response 4.5 para appliances Dell 8840 y 8880 Guía de

Guía de instalación de Symantec™ Endpoint Detection andResponse 4.5 para appliances Dell 8840 y 8880

Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para

appliances Dell 8840 y 8880

Table of Contents

Declaración de copyright.................................................................................................................4Acerca de Symantec Endpoint Detection and Response................................................................5

Acerca de Symantec Endpoint Detection and Response............................................................................................5Requisitos del sistema........................................................................................................................ 7

Compatibilidad de la versión de Symantec EDR con appliances.............................................................................. 7Requisitos del navegador para EDR appliance console............................................................................................. 7Requisitos del sistema para la integración de Symantec Endpoint Protection........................................................ 7

Planificación para la instalación........................................................................................................ 9Lista de comprobación previa a la instalación para los appliances físicos..............................................................9Hoja de trabajo de la instalación del appliance físico...............................................................................................10Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red.............................. 14Conexiones compatibles para dispositivos Dell por rol de dispositivo.................................................................. 18Acerca de cómo seleccionar un analizador de red....................................................................................................19Acerca de las configuraciones de red y las conexiones de puertos....................................................................... 20Dónde colocar el appliance en su red para obtener mejores resultados................................................................21Puertos necesarios del firewall.................................................................................................................................... 26Recomendaciones de proxy......................................................................................................................................... 31Matriz de compatibilidad de plataformas de Symantec EDR.................................................................................... 31Cómo obtener un archivo de licencia de Symantec EDR e instalarlo..................................................................... 33

Instalación de un appliance..............................................................................................................35Flujo de trabajo de la instalación del appliance de Dell........................................................................................... 35Instalación del appliance 8840..................................................................................................................................... 36Instalar el appliance 8880............................................................................................................................................. 38Especificaciones del appliance de Dell de Symantec Endpoint Detection and Response.................................... 41

Configuración del iDRAC en un appliance físico...........................................................................42Acerca de iDRAC............................................................................................................................................................42Configurar el iDRAC (appliance 8880 solamente)...................................................................................................... 42Configuración del iDRAC usando un monitor, un teclado y un mouse opcional................................................... 43

Ejecutar arranque...............................................................................................................................45Ejecución de la secuencia de arranque para configurar el appliance..................................................................... 45Comando status_check................................................................................................................................................. 47

Ejecución del Asistente de configuración...................................................................................... 49Ejecución del Asistente de configuración.................................................................................................................. 49

Tareas posteriores a la instalación..................................................................................................51Cómo completar las tareas de configuración.............................................................................................................51

2



Prueba de Symantec EDR para la supervisión y el bloqueo correctos................................................................... 52Prueba del modo de omisión del appliance.............................................................................................................53

Cómo acceder a EDR appliance console....................................................................................................................54Migración de datos durante la actualización a ATP v.3.1..............................................................55

Migración de datos durante la actualización a Advanced Threat Protection v.3.1................................................. 55Acerca del proceso de migración de datos................................................................................................................55

Appendix Materials............................................................................................................................ 57Appendix A: Puertos, conectores e indicadores en el appliance.................................................58

Acerca de los puertos, los conectores y los indicadores del appliance...................................................................58

3



Declaración de copyrightDeclaración de copyright

Broadcom, el logotipo de Pulse, Connecting everything y Symantec se encuentran entre las marcas registradas deBroadcom.

Copyright © 2020 Broadcom. Todos los derechos reservados.

El término \"Broadcom\" se refiere a Broadcom Inc. y/o sus subsidiarias.Para obtener más información, visitewww.broadcom.com.

Broadcom se reserva el derecho de realizar cambios sin previo aviso a los productos o datos en este documento paramejorar la confiabilidad, el funcionamiento o el diseño. Se cree que la información proporcionada por Broadcom esprecisa y confiable. Sin embargo, Broadcom no asume ninguna responsabilidad derivada de la aplicación o el uso deesta información, ni de la aplicación o el uso de ningún producto o circuito aquí descrito, ni transmite ninguna licenciabajo sus derechos de patente ni los derechos de otros.

4

http://www.broadcom.com



Acerca de Symantec Endpoint Detection and Response

Acerca de Symantec Endpoint Detection and ResponseSymantec Endpoint Detection and Response realiza las tareas de seguridad críticas que detectan las amenazas a su redy brindan protección y respuesta contra ellas. Symantec EDR está compuesto por los siguientes puntos de control:

Sensor de red de SymantecEDR

Procesa el flujo de la red en tiempo real a través de todos los puertos y protocolos de Internet y loenvía a través de diversos filtros y motores de detección. Symantec EDR puede detectar los eventosen los endpoints sin supervisar a medida que el tráfico pasa a través del analizador. Puesto queSymantec EDR no tiene información del agente de SEP, Symantec EDR no puede proporcionar todala información sobre el endpoint. Por ejemplo, la información incluye el nombre de usuario, el últimoregistro o el grupo de SEPM.

Symantec EDR Recopila la información mediante el proxy de las comunicaciones entre los clientes de SymantecEndpoint Protection y Symantec, y aprovecha la función Endpoint Detection and Response EndpointCommunications Channel de SEP.Acerca de Endpoint Communications Channel (ECC)

Symantec Email ThreatDetection and Response

Se integra con Symantec Email Security.cloud para detectar los ataques que ingresan a su organizacióna través del correo electrónico.

Symantec EDR usa Synapse para establecer una correlación entre datos de eventos de red con datos de eventosde correo electrónico, datos de eventos web y datos de eventos de endpoint. El motor de correlación de Synapsebusca coincidencias de forma automática con SEP, Email Security.cloud, Web Security.cloud y Symantec EDR parareducir el volumen de alertas de seguridad. Cuando se detectan incidentes, se establece una correlación con otrosincidentes detectados en su red para mostrar los patrones generales de ataque y para dar prioridad a las amenazas mássignificativas.

Symantec EDR emplea las tecnologías de detección siguientes:

Vantage Vantage es un motor de detección basado en firmas que encuentra las amenazas en el flujo de la red.Insight Insight accede a la base de datos de reputación más grande del mundo y tiene información de

reputación sobre más de 8 mil millones de archivos. Insight es un servicio de Symantec de solicitud dereputación para realizar consultas de reputación de Insight. Este servicio recopila la información sobrelos archivos ejecutables de Windows que se observan en los endpoints.

Mobile Insight Mobile Insight realiza análisis para las aplicaciones Android similares a los que Insight hace para losarchivos ejecutables de Windows. Además de abordar la detección de software malicioso, Mobile Insightdetecta problemas de privacidad y rendimiento en aplicaciones móviles.

Motor antivirus El motor antivirus es una tecnología basada en firmas que detecta software malicioso.Sandboxing (Aislamiento deprocesos)

Las tecnologías de aislamiento de procesos de Symantec desactivan archivos en un entorno de espacioaislado virtual, analizan los resultados e informan cada paso del comportamiento observado. Losespacios aislados usan la tecnología de aprendizaje automático para comparar los resultados con losmalos atributos conocidos. Luego, correlacionan sus datos y los datos del mundo real proporcionadospor Symantec Global Intelligence Network para determinar si los archivos son maliciosos.

Listas de denegación ylistas de aceptación

Las fuentes de la lista de denegación y de la lista de aceptación globales de Symantec, que seactualizan en los appliances de Symantec ATP regularmente, aceleran la detección y optimizan elrendimiento. Es posible también crear listas de denegación y listas de aceptación personalizadas que semantienen con Symantec EDR.

5



SONAR Symantec Endpoint Protection incluye la tecnología SONAR (del inglés Symantec Online Networkfor Advanced Response: Red en línea de Symantec para respuesta avanzada) para la deteccióny la reparación del comportamiento de proceso. Sin embargo, SEP no ayuda a comprender estosdetalles. Al integrar Symantec EDR y SEP, Symantec EDR puede proporcionar información sobre lasdetecciones de SONAR. SONAR detecta los cambios del sistema que han ocurrido en sus endpointsadministrados, el orden en que ocurrieron y los atributos de archivo relacionados. Esta información le dala mayor visibilidad de la actividad que ocurre en su entorno.SONAR usa un sistema heurístico que aprovecha la red de inteligencia en línea de Symantec consupervisión local proactiva en endpoints de SEP para detectar amenazas emergentes. SONAR ademásdetecta cambios o comportamientos en los endpoints que se deben supervisar. SONAR no hacedetecciones sobre el tipo de aplicación, sino sobre cómo un proceso se comporta.Acerca de analizar los comportamientos de proceso que ocurrieron en los endpoints

Clasificador de archivossospechosos

Symantec EDR usa un clasificador de archivos para analizar los archivos con estados desconocidos. Elclasificador de archivos divide los archivos por sus atributos para determinar si son buenos o maliciosos.El clasificador usa los árboles de decisión que se entrenan con millones de archivos.Esta tecnología usa aprendizaje automático en vez de desactivación de espacio aislado o firmas.

Cómo Symantec EDR crea y prioriza incidentes

Cómo Symantec EDR se ajusta a su marco de seguridad cibernética

6



Requisitos del sistema

Compatibilidad de la versión de Symantec EDR con appliancesEl appliance S550 de Symantec admite Symantec EDR 4.1 y versiones posteriores.

Los siguientes modelos de appliances admiten Advanced Threat Protection 3.0 y versiones posteriores, así comoSymantec EDR4.0 y posterior:

• Dell 8880• Dell 8840

Los appliances 8880 y 8840 de Symantec EDR incluyen un controlador de acceso remoto integrado de Dell (iDRAC).La consola del iDRAC requiere la última versión de Java Runtime Environment (JRE) instalada en su cliente deadministración.

Información de garantía para appliances de Dell

Requisitos del navegador para EDR appliance consoleLa sección Requisitos del navegador para la EDR appliance console muestra los navegadores web compatibles conla EDR appliance console. JavaScript debe estar habilitado en el navegador y las cookies deben estar habilitadas. Laresolución mínima para visualizar EDR appliance console es 1280 x 1024.

Table 1: Requisitos del navegador para EDR appliance console

Navegador Versión

Microsoft Internet Explorer 11 o posterior

Note: No se admiten los filtros rápidos.

Mozilla Firefox 81.0 o posterior (64 bits)Google Chrome 85.0.4183.121 o posterior (64 bits)Microsoft Edge Versión 85.0.564.63 o posterior (64 bits)Safari No se admiteOpera No se admite

Requisitos del sistema para la integración de Symantec EndpointProtectionRequisitos de la versión de Symantec Endpoint Protection

Symantec Endpoint Detection and Response se puede integrar con Symantec™ Endpoint Protection para mejorar lainformación de eventos y obtener la función Endpoint Communications Channel (ECC). Symantec EDR tiene ciertosrequisitos de la versión basados en los diversos componentes de SEP.

La versión mínima de SEPM es 12.1 RU6 o posterior. Symantec EDR se puede conectar a varios sitios de SEP con unaconexión por sitio de SEP, hasta un total de diez conexiones a hosts de SEPM.

Symantec EDR puede administrar los endpoints del cliente que ejecutan SEP versión 12.1 RU 6 MP3 o posterior con lasfunciones completas de ECC. Sin embargo, los clientes deben ejecutar SEP 14 o posterior para aprovechar las funcionesde ECC 2.0.

7

https://knowledge.broadcom.com/external/article?legacyId=HOWTO111548



Los endpoints del cliente que ejecutan versiones anteriores a SEP 12.1 RU5 no se admiten. Cierta funcionalidad estálimitada para los clientes que ejecutan versiones de SEP entre 12.1 RU5 y 12.1 RU6 MP3. En la documentación deSymantec EDR se describe cualquier límite en cuanto a las funciones según la versión del cliente SEP.

Versiones del cliente de SEP y funciones admitidas de Symantec EDR

Requisitos de la base de datos del recopilador de registros de Synapse

SEPM 14.3 RU1 o posterior utiliza Microsoft SQL Express como base de datos para la recopilación deregistros.Symantec EDR puede acceder a la base de datos sin ningún requisito especial del sistema de host.

SEPM 14.3 MP1 o versiones anteriores son compatibles con la base de datos de MS SQL Server o con una base dedatos integrada.Cuando SEPM utiliza una base de datos integrada, Symantec EDR utiliza un recopilador de registrosen el host de SEPM. Este recopilador de registros requiere que el host de SEPM se esté ejecutando en uno de lossiguientes sistemas operativos:

• Windows 7 (de 64 bits solamente)• Windows 8 (de 64 bits solamente)• Windows Server 2008• Windows Server 2012• Windows Server 2012 R2 o posterior (recomendado)

Consulte la documentación deSymantec Endpoint Protection para conocer los requisitos del sistema de SEPM.

Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection

Instalación del recopilador de registros de Synapse

8



Planificación para la instalación

Lista de comprobación previa a la instalación para los appliancesfísicosLa Lista de comprobación previa a la instalación enumera las acciones que se deben completar y la información que sedebe tener lista antes de instalar un appliance físico.

Table 2: Lista de comprobación previa a la instalación

Acción/Elemento Descripción

Recopilar herramientas. Tenga a mano los siguientes elementos:• Destornillador #2 Phillips• Llave de 8 mm (o una llave inglesa)• Hardware de montaje específico del bastidor del

equipo (consulte la guía del bastidor del equipopara obtener más información)

• Rotulador (opcional)• Elevador mecánico (opcional)• Kit de rieles deslizantes

Asegúrese de que su entorno tenga los recursos necesarios. Compatibilidad de la versión de Symantec EDR conappliancesMatriz de compatibilidad de plataformas deSymantec EDR

Para la instalación inicial, tenga un equipo disponible con un puerto Ethernet ycon acceso del navegador web a:• la red del puerto de administración,• y el iDRAC (appliance físico solamente).

El equipo que usa para configurar el appliancedebe tener acceso a la red de administración enla cual se encuentra el dispositivo de SymantecEDR. Por ejemplo, mediante la conexión a unconmutador o un router. Si configura un appliancefísico, el equipo además debe tener acceso de redal iDRAC.

Tenga un terminal de serie local para el appliance. Para realizar la secuencia de arranque, necesitaráun terminal de serie (equipo): puede ser un servidorinterno independiente especializado o un servidorde Windows que ejecute PUTTY. Resultaríaconveniente que proporcione acceso remotomediante RDP o HTTP. Este equipo también debeser local para el appliance.Este paso es necesario solamente si estáinstalando un appliance S550.Configuración del terminal serie o el software deemulación del terminal

9



Acción/Elemento Descripción

Tenga cables Ethernet (hasta cuatro cables normales y dos cables cruzados)disponibles.

La cantidad y los tipos de cables que se necesitandependen de la configuración de red y la cantidadde puertos LAN y WAN del appliance. Por ejemplo,para permitir que las interfaces de Ethernetnegocien 1000 Mbps, se requieren cables Cat5e oCat6.Es posible que sean necesarios cables cruzadospara una implementación inline.No necesita cables cruzados si uno o ambosdispositivos (conmutador, firewall) conectadosal puerto WAN y LAN tienen una MDI/MDI-Xautomática.Dónde colocar el appliance en su red para obtenermejores resultados

Abra los puertos requeridos en el firewall y otros dispositivos de red. Asegúrese de que los puertos necesarios esténabiertos en su firewall y otros dispositivos de redpara permitir el tráfico al dispositivo de SymantecEDR o desde él. Por ejemplo, HTTP 80 y HTTPS443.Puertos necesarios del firewall

Decida el rol y el modo de funcionamiento. Los roles de configuración de funcionamiento sonlos siguientes:• Todo en uno• Plataforma de administración• Analizador de redAcerca de los roles de funcionamiento, los modosde funcionamiento y conexiones de redAcerca de las configuraciones de red y lasconexiones de puertos

Obtenga el archivo de licencia y asegúrese de que puede acceder al archivo delicencia.

Asegúrese de que se pueda navegar al archivode licencia de Symantec y seleccionarlo desde elequipo que se usa para ejecutar el Asistente deconfiguración.Cómo obtener un archivo de licencia de SymantecEDR e instalarlo

Complete la hoja de cálculo de instalación. Tome todas las decisiones que necesitará parala instalación antes de comenzar. Tener estainformación a mano garantiza que el procesode instalación se ejecute de manera rápida y sinproblemas.Hoja de trabajo de instalación del appliance físico

Hoja de trabajo de la instalación del appliance físicoSymantec EDR le recomienda que complete la hoja de instalación en su totalidad antes de comenzar la instalación.Proporcione esta lista de comprobación a los administradores que realizarán las tareas de instalación. También debeconservar una copia para sus registros con fines de archivado y de copia de seguridad.

10



Table 3: Configuración del iDRAC (solo instalación del appliance de Dell)

Configuración Descripción Valor que debe introducir

Elija la dirección IP, lamáscara de subred, ladirección de gateway y lacontraseña para el iDRAC.

El controlador de acceso remoto integradode Dell (iDRAC) en el appliance físicoproporciona acceso de la consola alappliance. Aunque esté integrado, el iDRACes un dispositivo aparte que requiere supropia dirección de red para funcionar. Lacontraseña es necesaria para acceder a lainterfaz basada en navegador del iDRAC.

Dirección IP:________.________.________.________Máscara de subred:_________________________________Dirección del gateway:________.________.________.________Contraseña:Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Configuración del iDRAC (appliance 8880 solamente)

Configuración del iDRAC usando un monitor, un teclado y un mouse opcional

Table 4: Configuración del terminal serie o del software de emulación del terminal (solo appliance S550)


Configure el software deemulación del terminal.

Debe configurar el programa del terminal parapoder ejecutar la secuencia de arranque.

• Velocidad en baudios = 9600 bps• Paridad = Ninguna• Control de flujo = Ninguno• Bits de datos = 8• Bits de detención = 1

Configuración del terminal serie o el software de emulación del terminal

Table 5: Configuración de la secuencia de arranque (todos los dispositivos físicos)


New password: (Nuevacontraseña:)

Una nueva contraseña segura para laconsola. Esta contraseña reemplaza lacontraseña predeterminada, symantec.

Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Weak password(Contraseña no segura)Try another [y/n]?(¿Desea probar otra [s/n]?)

Note: Una contraseña similar a una palabraen el diccionario, demasiado corta o que noes lo suficientemente compleja es menossegura. Symantec EDR le pedirá queconfirme el uso de una contraseña pocosegura.

________ sí________ no

Re-enter new password(Volver a especificar lanueva contraseña):

Confirme la nueva contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

11




Seleccione uno de lossiguientes roles delappliance:1 = Plataforma deadministración ..., 2 =Analizador de red ..., 3 =Todo en uno ... []?

Especifique el rol del appliance.Acerca de los roles de funcionamiento, losmodos de funcionamiento y conexiones dered

_______ 1: Plataforma de administración_______ 2: Analizador de red_______ 3: Todo en uno

Configure themanagement port. IPv4address []: (Configure elpuerto de administración.Dirección IPv4 []:)

La dirección IP estática para el puerto deadministración. Para una plataforma deadministración o un appliance todo en uno,se usa esta dirección IP para acceder a EDRappliance console desde un navegador.

________.________.________.________

IPv4 Netmask []: (Máscarade red IPv4 []:)

La máscara de red para la dirección IPv4 delpuerto de administración. ________.________.________.________

Gateway []: La dirección IP para el gateway (conmutadoro router) que el appliance puede usar paracomunicarse con el resto de su red.

________.________.________.________

Name server (IPv4) []:(Servidor de nombres[IPv4])

La dirección IP de un servidor de nombresque el appliance pueda usar para resolver lasdirecciones IP.

________.________.________.________

Configure anothernameserver? [y/n](¿Desea configurar otroservidor de nombres? [s/n])

“Sí” agrega un servidor de nombres adicional;“No” usa solamente un servidor de nombres.Si la respuesta es “sí”, proporcione ladirección IP de un segundo servidor denombres.

________ sí________.________.________.________________ no

Rol del analizador de redsolamente:IP address of theManagement Platform(Dirección IP dela plataforma deadministración):

La dirección IP del puerto de administracióndel appliance de la plataforma deadministración que controla este analizador.

________.________.________.________

Roles de la plataformade administración odel analizador de redsolamente:CommunicationChannel password:(Contraseña del canal decomunicaciones)

Una contraseña segura para cifrar lascomunicaciones entre la plataforma deadministración y todos sus analizadores dered. Esta contraseña debe ser la misma parala plataforma de administración y todos losanalizadores de red. Debe ser diferente de lacontraseña de la consola de administración.Las letras, los números, los puntos, loscaracteres de subrayado y los guiones estánpermitidos, y la contraseña puede ser dehasta 50 caracteres.

Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Roles de la plataformade administración odel analizador de redsolamente: Re-enterCommunication Channelpassword: (Volver aescribir contraseña delcanal de comunicaciones:)

Confirme la contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

12




Configure IPv4 staticroutes? [y/n] (¿Deseaconfigurar otro servidorde nombres? [s/n])

“Sí” configura una ruta estática IPv4; “No”omite este paso de configuración.Las rutas estáticas pueden ser necesarias.Por ejemplo, use rutas estáticas paraconectar un analizador de red a su plataformade administración.

________ sí________ no

Destino (CIDR permitido):Gateway (Gateway):

Si elige configurar las rutas estáticas IPv4,escriba la dirección IP de destino y delgateway.

________.________.________.________

Add another route? [y/n](¿Desea configurar otroservidor de nombres? [s/n])

“Sí” para configurar una ruta estática adicionalIPv4. “No” para ir a la siguiente indicación.Es posible configurar hasta tres rutasestáticas IPv4 en la secuencia de arranque.Es posible configurar las rutas estáticasadicionales en EDR appliance console.

________ sí (se admiten hasta tres)________.________.________.________________.________.________.________________.________.________.________________ no

What do you want tocall this device? (¿Quénombre desea dar a estedispositivo?)

El nombre para identificar este sistemaen EDR appliance console. Las letras, losnúmeros, los espacios, los puntos y losguiones están permitidos, y el nombre puedeser de hasta 50 caracteres.

__________________________________

Set NTP server [] La dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que elappliance tenga una hora precisa para indicarcuándo se realizan detecciones.

________.________.________.________

Ejecución de la secuencia de arranque para configurar el appliance

Table 6: Asistente de configuración


Acceder a EDR applianceconsole.

Esta es la dirección IP estática para el puertode administración que se especificó durantela secuencia de arranque.

________.________.________.________

Upload License (Cargarlicencia)

Debe cargar una licencia antes de que eldispositivo de Symantec EDR sea funcional.No es posible usar Symantec EDR despuésde instalarlo sin una licencia. No existe unperíodo de gracia.

Ubicación de la licencia de Symantec EDR:______________________________________

SMTP Settings(Configuración de SMTP)

Symantec le recomienda especialmente que especifique la configuración de SMTP en el asistente deconfiguración. Si lo hace, podrá recuperar una contraseña perdida. También puede seleccionar Skipadding SMTP server configuration (Omitir adición de la configuración del servidor SMTP) y especificarla configuración más tarde en EDR appliance console.

SMTP Server (ServidorSMTP) y Port (Puerto)

El nombre de dominio completo y el númerode puerto del servidor de correo seguro. ________.________.________.________

Correo electrónico delappliance

La dirección de correo electrónico desdedonde se envían las alertas, como unanotificación de la caducidad de la licencia.

___________________@_____________._____

13




Authorize (Autorizar) Si su servidor de correo requiere un inicio desesión seguro para recibir mensajes, escribaun nombre de usuario y una contraseña queSymantec EDR pueda usar para autenticarcon el servidor de correo.

Nombre de usuario:_______________________________Contraseña:Proporcione esta información al administrador que instalael appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Create an Administrativeaccount (Crear unacuenta administrativa)

Estas son las credenciales de inicio de sesión para la cuenta de administrador inicial. Se necesita esteinicio de sesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.

Logon name (Nombre deinicio de sesión)

Nombre de inicio de sesión del administradorinicial _______________________________

Nombre para mostrar El nombre del administrador que apareceinicialmente, tal y como aparece en laconsola de EDR appliance console.

_______________________________

User email address(Dirección de correoelectrónico del usuario)

La dirección de correo electrónico deladministrador inicial para las notificaciones. ____________________@____________._____

Ejecutar el Asistente de configuración

Hoja de trabajo de instalación completada por:

Nombre: _______________________________________ Fecha: _________________________

Proporcionado a:

Administrador de EDR: _____________________________________________ Fecha: _________________________

Lista de comprobación previa a la instalación para los appliances físicos

Acerca de los roles de funcionamiento, los modos de funcionamientoy conexiones de redConfigure cada appliance para Symantec EDR con un rol y un modo de funcionamiento. Juntos, estos determinan cómoel dispositivo se conecta a su red y cómo funciona para proteger su red y para informar las amenazas.

Roles de funcionamiento | Modos de funcionamiento y conexiones de red

Roles de funcionamiento

14



Es posible implementar el appliance como una plataforma de administración, un analizador de red o un dispositivo todoen uno. Se asigna el rol de funcionamiento cuando se ejecuta la secuencia de arranque en el appliance. Estos rolestienen la funcionalidad siguiente:

Plataforma deadministración

Si dos o más appliances están instalados, uno debe implementarse en el rol Management platform(Plataforma de administración).Una plataforma de administración aloja EDR appliance console y muestra los incidentes y endpointsen peligro para todos los analizadores conectados. La plataforma de administración presenta una vistacompleta de la actividad maliciosa en su red. La plataforma de administración además centraliza lasfunciones de configuración, administración y elaboración de informes.La plataforma de administración no analiza el tráfico de red.

Analizador de red Si dos o más appliances están instalados, todos los dispositivos excepto la plataforma de administraciónse deben implementar como analizadores de red. Cada analizador de red puede supervisar el tráfico enuna red diferente y enviar sus datos del incidente a la plataforma de administración. Según el modo defuncionamiento, el analizador de red puede bloquear el tráfico malicioso en tiempo real.Un analizador de red no tiene EDR appliance console. Se configura y se administra el analizador de reddesde la plataforma de administración. Sus datos del incidente se consolidan con los datos del incidentede otros analizadores de red y se informan desde la plataforma de administración. Cuando su red seamplía, se pueden instalar y conectar a la plataforma de administrador analizadores de red adicionalespara proteger las nuevas redes.

Todo en uno Si solamente un appliance está instalado, se debe implementar en el modo todo en uno. Un dispositivotodo en uno realiza las funciones de la plataforma de administración y del rol del analizador de red.

NOTE

Un dispositivo todo en uno no puede funcionar como una plataforma de administración para los analizadores dered. Solamente un appliance que tiene asignado el rol de la plataforma de administración puede administrar unanalizador de red.

Los roles que se eligen dependen de la velocidad de transferencia del tráfico de red. Para las instalaciones pequeñas ymedianas, es necesario tener un appliance que funcione en el rol todo en uno. Para instalaciones más grandes, se debeninstalar varios appliances con uno que actúe de plataforma de administración y que los appliances restantes actúen comoanalizadores de red.


Si desea cambiar el rol de funcionamiento de un appliance después de la instalación inicial, debe reinstalar el softwaredel appliance.

Conexiones de red y modos de funcionamiento

El modo de funcionamiento controla cómo se procesa su tráfico de red. También afecta cómo el appliance se conectafísicamente a su red.

La sección Modos de funcionamiento y conexiones de red de Symantec EDR describe los modos de Symantec EDRque están disponibles para los appliances y las conexiones de red que son necesarios para cada rol. Debe asignar unadirección IP estática a cada conexión de red de Symantec EDR.

15



Table 7: Conexiones de red y modos de funcionamiento de Symantec EDR

Modo Descripción Conexiones de red requeridas

Bloqueo inline En el modo de bloqueo inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Se bloquean lasdescargas de archivos, los sitios web accedidos y el tráfico quese consideren maliciosos. Solamente el modo de bloqueo inlineproporciona protección en tiempo real contra amenazas.El appliance virtual tiene una interfaz inline en el modo debloqueo inline.El modelo ATP 8880 tiene dos interfaces inline en el modo debloqueo inline.

Note: El modo de bloqueo inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.

1 Administración2 WAN2 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)

Supervisión inline En el modo de supervisión inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Los archivosmaliciosos, los sitios web y el tráfico se registran para fines devisibilidad, pero no se bloquean. Cualquier amenaza que seencuentre en el modo de supervisión inline debe atenuarsemanualmente.El modo de supervisión inline se suele usar como prueba delrendimiento del sistema y para analizar un comportamientopotencial de bloqueo (de los informes) antes de implementarel bloqueo. Las conexiones físicas para los modos de bloqueoinline y supervisión inline son idénticas, de forma que no esnecesario volver a cablear cuando se cambia entre estosmodos.El appliance físico tiene dos interfaces inline en el modo desupervisión inline.El appliance virtual tiene una interfaz inline en el modo desupervisión inline.

Note: El modo de supervisión inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.

1 Administración2 WAN2 LAN1 WAN1 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)

16



Modo Descripción Conexiones de red requeridas

Omisión (protecciónde modo inline)

Un appliance físico que se configura en modo inline cambiaautomáticamente a modo de omisión si el appliance no puedefuncionar. También cambia al modo omisión si está apagado.En modo de omisión, el tráfico de Internet fluye a través delos puertos LAN y WAN, pero no se realizan supervisiones nibloqueos. Las operaciones normales se reanudan cuando sereinicia el appliance o se vuelve a habilitar el análisis.Las NIC de Symantec EDR funcionan en el modo NIC estándar(sin conexión entre los puertos LAN y WAN) o en el modo deomisión (con conexión entre los puertos LAN y WAN) segúnestas circunstancias:• Instalada lista para usar:

Modo NIC estándar• Configurada para la implementación inline:

Modo de omisión• Configurada para la implementación de punto de conexión

de red:Modo NIC estándar

• Con una nueva imagen (restablecimiento a los valores defábrica) después de cualquier implementación anterior:Modo NIC estándar

El modo de omisión no está disponible para los appliancesvirtuales. Si un appliance virtual no puede funcionar o estádesactivado, se interrumpen las comunicaciones de red. Poreste motivo, los modos de bloqueo inline y supervisión inline nose recomiendan para los appliances virtuales.

Igual que el modo de bloqueo inline osupervisión inline

Punto de conexiónde red

En el modo de punto de conexión de red, el appliance seconecta al puerto del punto de conexión de red o al puertoSpan en un conmutador. El appliance supervisa una copiadel tráfico entre los endpoints e Internet, de forma que losincidentes de supervisión y registro no afectan el rendimientode la red. Como los motores de supervisión y de registrofuncionan en diversos intervalos, puede haber un retraso leveen detectar los incidentes. Todas las amenazas se debenatenuar manualmente.El appliance puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El appliance virtual puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El modelo 8880 puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red. El modelo 8840 puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.

1 Administración1 conexión de supervisión para cada redsupervisada


En el modo de plataforma de administración, todas lascomunicaciones y la administración pasan a través del puertode administración. Puesto que un appliance de la plataforma deadministración no analiza, solo la conexión de administración esnecesaria.

1 Administración

Se elige el modo de funcionamiento para un dispositivo todo en uno o analizador de red de EDR appliance console. Unaplataforma de administración funciona en el modo de plataforma de administración de forma automática.

17



Configurar la interfaz de red y habilitar el análisis

Acerca de las configuraciones de red y las conexiones de puertos

Dónde colocar el appliance en su red para obtener mejores resultados

Cómo Symantec EDR aplica políticas de la lista de denegación basadas en su modo de funcionamiento

Conexiones compatibles para dispositivos Dell por rol de dispositivoLas conexiones de red físicas al appliance pueden variar según el modelo del appliance y el rol que el appliance tiene enla red. Las tablas en este tema muestran las conexiones para los diversos modelos y roles.

IMPORTANTE: Los appliances tienen varios puertos Ethernet, algunos de los cuales no se pueden utilizar y no seadmiten si están habilitados. No debe haber cables Ethernet conectados a los puertos que no están etiquetadosclaramente como:

• Management (Administración)• Monitor 1/WAN 1• Monitor 2/LAN 1• Monitor 3/WAN 2• Monitor 4/LAN 2

Los NIC etiquetados como Gb2, Gb3, Gb4, etc. no son compatibles. El puerto de iDRAC es un hardware independiente yno fue observado por el software del appliance.

Table 8: Rol: plataforma de administración

Modelo Versión del hardware Puerto de administración

8880 R730 eth08880 R720 eth08840 R330 eth08840 R220 eth0

18



Table 9: Rol: todo en uno

Modelo Versión delhardware

Puerto deadministración Monitor 1/WAN 1 Monitor 2/LAN 1 Monitor 3/WAN 2 Monitor 4/LAN 2

8880 R730 eth0 eth7 eth6 eth5 eth48880 R720 eth0 eth7 eth6 eth5 eth48840 R330 eth0 eth3 eth2 N/D N/D8840 R220 eth0 eth2 eth3 N/D N/D

Table 10: Rol: Analizador

Modelo Versión delhardware

Puerto deadministración Monitor 1/WAN 1 Monitor 2/LAN 1 Monitor 3/WAN 2 Monitor 4/LAN 2

8880 R730 eth0 eth7 eth6 eth5 eth48880 R720 eth0 eth7 eth6 eth5 eth48840 R330 eth0 eth3 eth2 N/D N/D8840 R220 eth0 eth2 eth3 N/D N/D

Acerca de los puertos, los conectores y los indicadores del appliance

Acerca de cómo seleccionar un analizador de redLos siguientes factores determinan la cantidad de analizadores de red recomendados.

Hardware en comparación a virtual Tome esta decisión según su infraestructura actual. Los usuarios con una inversión importanteen VMware deberían usar appliances virtuales. Los usuarios con una inversión baja o nula enVMware deberían usar hardware.Las soluciones de hardware tienen NIC de omisión, por lo que, en caso de error, SymantecEDR continúa pasando el tráfico cuando se implementa inline. Por lo tanto, el hardware real esconveniente para implementaciones inline.Para obtener más información, consulte la guía de instalación para su plataformacorrespondiente (appliance físico o virtual).

Ancho de banda disponible Las soluciones de hardware tienen mayor velocidad de transferencia que las soluciones virtuales.10 GB por puerto.R220 y R330 tienen una velocidad de transferencia de 1 Gbps en sus NIC únicos. R720 y R730tienen dos NIC que pueden alcanzar 1 Gbps cada uno.Consulte la Guía de evaluación del tamaño de Symantec Endpoint Detection and Response paraobtener más información.

Endpoints totales en laorganización

Mientras que cada implementación varía, el appliance físico tiene una capacidad deaproximadamente 25000 conexiones simultáneas. Estos números son para el modo inline. En elmodo de punto de conexión, el hardware puede admitir aproximadamente el doble de conexionesque en el modo inline.Las máquinas virtuales pueden controlar 2 mil conexiones simultáneas.Mientras que cada implementación varía, R220 y R330 tienen una capacidad deaproximadamente 10000 conexiones simultáneas. R720 y R730s pueden admitir 25000conexiones simultáneas. Estos números son para el modo inline. En el modo de punto deconexión, el hardware puede admitir aproximadamente el doble de conexiones que en el modoinline.

19



Funciones de Symantec EDR Si la implementación es para usar principalmente el análisis de red, una implementaciónseparada de analizador y plataforma de administración proporciona espacio para aumentar lacapacidad de análisis. En este caso, el appliance físico tiene más capacidad de almacenamientoy es adecuado para la plataforma de administración. La cantidad de analizadores dependería dela cantidad de puntos de entrada y salida en la red y la cantidad de tráfico en esos puntos.Una implementación de todo en uno debe poder administrar todo el tráfico para el crecimientoprevisto de la organización durante la vida del appliance. Si la implementación funcionaprincipalmente como Symantec EDR: Endpoint, seleccione una implementación todo en uno.

Acerca de las configuraciones de red y las conexiones de puertosEn la siguiente tabla se describen las formas de conectar Symantec Endpoint Detection and Response a la red.

NOTE

Las conexiones de puertos varían según el modelo, la versión y el rol del appliance.

Conexiones compatibles con rol de appliance

Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a

Punto de conexión dered/puerto SPAN simple

Esta configuraciónsupervisa el tráficoentre los endpoints eInternet, pero no bloquealas transferencias dearchivos o sitios web.El tráfico de Internetse copia al puertoconmutador mediante laduplicación del puertoque se configura en elconmutador.Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Estaconfiguración es fácil y esútil como prueba inicialde Symantec EDR.

Puerto en el conmutadorLAN

Conecte Supervisión1al puerto o punto deconexión de red enel conmutador LANconfigurado en modoSpan.

Sin utilizar

Punto de conexiónde red/Puerto spancon varios puertos desupervisión

Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Lospuertos de supervisiónadicionales permitenque el mismo appliancese conecte a variosconmutadores dediversas subredes. Estaconfiguración no bloquealas transferencias dearchivos o los sitios web.




20



Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a

Inline simple Es posible bloquearlas transferencias dearchivos y los sitiosweb usando estaconfiguración.La configuracióninline necesita másconexiones de red quela configuración porpunto de conexión dered o puerto SPAN.Idealmente, es necesarioimplementar SymantecEDR inline entre elcliente y el firewall. Si usaun proxy, debe conectarel appliance entre elcliente y el proxy.


Puerto LAN del firewallde Internet


Inline con dos firewalls,dos proxy y dosappliances

Puede conectar dosappliances a dosfirewalls como partede un entorno de altadisponibilidad. Puedeconfigurar los firewallscon una conmutaciónpor error activa/activa ocon una conmutación porerror activa/en espera.Debe configurar losappliances de maneraidéntica, excepto por laconfiguración de red.Ambos appliances sedeben conectar a lamisma plataforma deadministración.


Puerto LAN del firewallde Internet



En una configuraciónde plataforma deadministración, unappliance se configurapara administrar otrosappliances. Esteappliance no analiza,de forma que requieresolamente una conexiónde administración.


Sin utilizar Sin utilizar


Dónde colocar el appliance en su red para obtener mejores resultadosLa disposición de su appliance depende de si el appliance es una plataforma de administración, un analizador de red oun dispositivo todo en uno. El appliance de Symantec Endpoint Detection and Response debe poder realizar lo siguientesegún su rol:

21



• Analizar todo el tráfico de red que entra y sale de la organización• Determinar el origen y el destino de todo el tráfico• Detectar los endpoints de conexión internos• Actuar como servidor proxy de red para los endpoints (si se integra con Symantec Endpoint Protection Manager)• Tener un efecto mínimo en el rendimiento de red

Si su arquitectura incluye una zona desmilitarizada (DMZ) y se integra Symantec EDR con Symantec EndpointProtection, no coloque lo siguiente en la zona desmilitarizada:

• Appliance de la plataforma de administración• Appliance todo en uno• SEP

Implementar el appliance entre un proxy y el firewall evita que Symantec EDR detecte la dirección IP del endpoint deorigen. Es decir que, en este caso, es necesario habilitar el campo con el encabezado X-Forwarded-For:. Es posibleque también necesite configurar su firewall para eliminar el campo con el encabezado X-Forwarded-For:.

Especificar el tráfico que el proxy examina

Symantec EDR no analiza el tráfico entre equipos internos. La excepción es cuando uno de los equipos es un servidorproxy. Se analiza el tráfico interno que se dirige a un servidor proxy porque es tráfico de red saliente.

Si desea que Symantec EDR se conecte a Internet a través de un servidor proxy, es necesario tratar el appliancecomo un dispositivo de confianza y deshabilitar la autenticación. Symantec EDR no admite el paso de credenciales deautenticación básica al proxy. Symantec EDR admite la autenticación de contraseñas simple o básica al proxy.

Es posible usar el puerto de administración para cualquiera de las siguientes acciones:

• Para acceder a EDR appliance console.• Para la comunicación con los servidores de Symantec (por ejemplo, LiveUpdate, aislamiento de procesos basado en

la nube, Insight, telemetría, etc.).• Para facilitar la comunicación con SEPM y los endpoints para el proxy del endpoint.

La red de administración no debe estar abierta a Internet por completo. Si necesita acceder a la red de administracióndesde afuera, se recomienda una conexión VPN o una conexión de escritorio remoto efímera.

En el modo inline, el puerto de administración debe estar en una subred diferente de la interfaz inline.

Las siguientes figuras muestran ejemplos de configuraciones de red.

NOTE

Puede usar el appliance 8840 o 8880 de ATP en cualquiera de estas configuraciones.

Es posible que necesite cables cruzados para la implementación inline si los dispositivos conectados a los puertos WANy LAN no tienen la configuración automática de MDI/MDI-X.

22



23



24



25



Acerca de las configuraciones de red y las conexiones de puertos


Flujo de trabajo de instalación del appliance físico

Flujo de trabajo de instalación del appliance virtual

Puertos necesarios del firewallSegún el diseño de red, es posible que deba abrir algunos puertos en su firewall y editar sus reglas de firewall. Estoscambios le permiten acceder a las direcciones web importantes que son esenciales para las operaciones de SymantecEndpoint Detection and Response.

26



Direcciones IP y web de Symantec EDR enumera las direcciones IP y web a las que Symantec EDR requiere acceso.

Table 11: Direcciones IP y web de Symantec EDR

Direcciones web/dirección IP Protocolo Puerto Descripción

• remotetunnel1.edrc.symantec.com• remotetunnel2.edrc.symantec.com• remotetunnel3.edrc.symantec.com• remotetunnel4.edrc.symantec.com• remotetunnel5.edrc.symantec.com

HTTPS 443 Permite el acceso remoto del Soporte deSymantec al appliance de Symantec EDR.

https://api-gateway.symantec.com TCP 443 Accede al servicio de Targeted AttackAnalytics (Análisis de ataque dirigido) deSymantec.

licensing.dmas.symantec.com TCP 443 Usado para conseguir la licencia de Cynic.api.us.dmas.symantec.comapi.eu.dmas.symantec.com

TCP 443 Usado para realizar consultas a servidores deCynic en EE. UU. y Reino Unido (requeridos).

liveupdate.symantec.com TCP 80 Usado para comprobar si hay definicionespara las tecnologías de detección deSymantec y descargarlas.

ratings-wrs.symantec.com TCP 443 Usado para consultar al servidor de NortonSafe Web para identificar sitios webmaliciosos.

stnd-avpg.crsi.symantec.comstnd-ipsg.crsi.symantec.com

TCP 443 Usado para enviar telemetría de detección aSymantec.

register.brightmail.com TCP 443 Usado para registrar el appliance.swupdate.brightmail.com TCP 443 Usado para comprobar si hay nuevas

versiones de Symantec EDR y descargarlas.shasta-rrs.symantec.comshasta-mrs.symantec.com

TCP 443 Usado para realizar búsquedas de reputaciónpara el archivo ejecutable de Windows y losarchivos instalables de APK.

datafeedapi.symanteccloud.com TCP 443 Usado para descargar Email Security.cloud yeventos de EDR: Roaming.

stats.norton.com TCP 443 Cuando se configura la telemetría, se usa paraenviar estadísticas de telemetría a Symantec.

telemetry.symantec.com TCP 443 Cuando se configura la telemetría, se usapara enviar telemetría de archivo y para cargarpaquetes de diagnóstico a Symantec.

EDR appliance console TCP 443 (entrante) o en elintervalo de 1024 a9997

Acceso a API pública de Symantec EDR.

https://sso1.edrc.symantec.com TCP 443 Usado para SSO.

Puertos y configuración de Symantec EDRdescribe los puertos que Symantec EDR usa para las comunicaciones, lasactualizaciones de contenido y las interacciones con los servicios de detección de Symantec.cloud.

27



Table 12: Puertos y configuración de Symantec EDR

Servicio Protocolo Puerto De Para Descripción

Hacer copia de seguridad FTP; SSH 20 TCP, UDP21 TCP22 TCP, UDP

Plataforma deadministración oappliances todoen uno

Servidor dealmacenamientode copia deseguridadconfigurado(Tráfico interno)

Servidor FTP: puertos 20 y 21del FTPServidor SSH: puerto 22 deSSH

Notificaciones por correoelectrónico

SMTP 25 TCP587 TCP

Plataforma deadministración oappliance todoen uno

Servidor SMTP(Tráfico interno)

Comunicación con el servidorSMTP.

Actualizaciones decontenido

HTTP 80 TCP Todos losappliances

Symantec(Tráfico externo)

Definiciones de virus yVantage y otro contenido queLiveUpdate entrega.Este puerto es necesario parael funcionamiento apropiadodel producto.

Entrega de estadísticas HTTP 80 TCP Todos losappliances


Envía los datos a Symantecpara propósitos estadísticos yde diagnóstico.Los datos privados no seenvían por este puerto.

(ECC) 2.0 HTTPSHTTP

44380

Endpointsadministrados deSEP

Symantec EDR Comunica los comandos conlos endpoints.Acerca de EndpointCommunications Channel

ECC 1.0 HTTPS 8446 Symantec EDR SEPM Comandos de SEPM.Envíos de endpoint/RRSECC 2.0

HTTPSHTTP

4438080

SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.

Envíos de endpoint/RRSECC 1.0

HTTPSHTTPHTTP

443808443¹

SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.

Servicios de detección,análisis, correlación ytelemetría en la nube deSymantec.

Si EndpointActivityRecorder estáhabilitadoSi EndpointActivityRecorder estádeshabilitado

443 TCP Todos losappliances


Intercambios de datos detelemetría y consultas deservicios en la nube.Si Endpoint Activity Recorderestá habilitado, SEP envíaeventos de condenadirectamente a SymantecEDR.

Información sobrecondenas del antivirusy de la prevención deintrusiones

HTTPS TCP 8080 deHTTP o HTTPS443 TCPTCP 80 de HTTP oHTTPS 8443 TCP

Clientes de SEP Plataforma deadministraciónde SymantecEDR

Información sobre los archivosy el tráfico de red que SEPdetecta.

28




Información sobrecondenas del antivirusy de la prevención deintrusiones

HTTPSHTTP

443 TCP80

Plataforma deadministraciónde SymantecEDR

Symantec(tráfico externo)

Información sobre los archivosy el tráfico de red que SEPdetecta.

Actualizaciones delproducto

HTTPS 443 TCP Todos losappliances


Encuentra y entrega versionesmás recientes de SymantecEDR.

EDR appliance console HTTPS 443 TCP443 (entrante) oen el intervalo de1024 a 9997

Cliente que seconecta paraadministrar unappliance

Plataforma deadministración oappliance todoen uno(Tráfico interno)

Acceso a EDR applianceconsole para un appliance todoen uno o una plataforma deadministración.

Los analizadores de redEDR appliance console ytodo en uno

SSH 22 Cliente que seconecta paraadministrar unappliance

Plataforma deadministración,analizador oappliance todoen uno(Tráfico interno)

Acceso de la línea decomandos para un appliancetodo en uno o una plataformade administración.

Conexión de SynapseSEPM con Microsoft SQLServer (opcional)

JDBC TCP 1433 (opciónpredeterminada)


Microsoft SQLServer de SEPM(Tráfico interno)

Necesario si usa MicrosoftSQL Server para SEPM ySynapse.Los administradores deSEPM pueden configurar unpuerto diferente para estacomunicación.

Canal de comunicaciones(instalaciones delanalizador de redy la plataforma deadministración solamente)

AMQP 5671 TCP5672 TCP

Applianceanalizador de red

Plataforma deadministración(Tráfico interno)

Comunicaciones entre laplataforma de administración ylos analizadores de red.No requerido para unainstalación de dispositivotodo en uno. Después delintercambio inicial en estepuerto, la comunicación seprotege.

Bloquear la página(modo de bloqueo inlinesolamente)

HTTP 8080 TCP Analizador dered

Endpointsprotegidos(Tráfico interno)

Envía la página de bloqueocuando el contenido estábloqueado en un endpoint.No requerido para los modosde punto de conexión de red/Span o Supervisión inline.

Conexión de SynapseSEPM con la BD integrada(opcional)Compatible con SEPM14.3 MP1 y versionesanteriores.

HTTPS 8081 TCP (opciónpredeterminada)


Servidor deSEPM(Tráfico interno)

Necesario si usa la basede datos integrada para laconexión de Synapse conSEPM.

Conexión a la base dedatos de SEPM

HTTPS TCP 2638 (opciónpredeterminada)


MS SQL Express

29




Conexión de SynapseSEPM con los serviciosweb de SEPMde Supervisión yadministración remota(RMM) (opcional)

HTTPS TCP 8446 (opciónpredeterminada)


Servidor deSEPM

Necesario si se conectaal servidor de SEPM paraejecutar las operaciones deadministración.Por ejemplo, agregar o eliminarlos elementos de la lista negrao colocar un endpoint encuarentena.

Syslog Syslog El puerto TCP(preferido) oUDP debe ser elmismo que estáconfigurado enEDR applianceconsole paraSyslog

Todos losappliances

Servidor Syslogconfigurado(Tráfico interno oexterno basadoen su entorno)

Si se configura Syslog, estaconexión entrega los mensajesde registro a un Syslog remoto.

EDR: EmailEDR: Roaming

HTTPS 443 TCP Plataforma deadministración oappliance todoen uno

Symantec Esta conexión permite aSymantec EDR recopilareventos de condenas de EDR:Roaming y EDR: Email cuandose habilita la correlación deSynapse para uno de estosservicios.

Active Directory LDAPS 636 Plataforma deadministración oappliance todoen uno

Servidor deActive Directory

Esta conexión permite queSymantec EDR se integrecon Active Directory para laautenticación de usuario.

Vínculo de SecurityAnalytics

HTTPSTCP, UDP

443 Plataforma deadministración oappliance todoen uno

Appliance virtualo appliancede SymantecSecurityAnalytics

Esta conexión le permite aSymantec EDR integrarse conSymantec Security Analyticspara brindar un vínculoen los eventos de registroindividuales para dirigir alos usuarios a informaciónadicional sobre el movimientode red relacionado.

¹ El puerto 8443 está disponible solamente si se ha utilizado este puerto en versiones anteriores de Symantec EDR ydesde entonces se ha actualizado. Si está instalando Symantec EDR por primera vez, este puerto no está disponible.


Flujo de trabajo de instalación del appliance físico

Flujo de trabajo de instalación del appliance virtual

30



Recomendaciones de proxyLas siguientes son recomendaciones de Symantec sobre el proxy:

Análisis de red Las opciones de implementación de proxy son las siguientes:• Implementar Symantec EDR entre la red interna y el proxy.

Se recomienda esta configuración de implementación.Cuando los clientes implementan Symantec EDR entre la red interna y el servidor proxy, seproporciona a Symantec EDR visibilidad completa de la información del endpoint.Es necesario implementar Symantec EDR cuando está equilibrando la carga de proxies entrela red interna y un conjunto de proxy. Esta información asegura que Symantec EDR realizarconmutación por error en el proxy. En esta situación, el puerto LAN del proxy es el lugar bueno aconecte Symantec EDR inline.

• Implementar Symantec EDR entre el proxy y su firewall.Cuando los clientes implementan Symantec EDR entre el proxy y su firewall, los clientes debenhabilitar la función X-forwarded-for en el proxy. El firewall debe tener la capacidad de eliminar lafunción X-forwarded-for. Los clientes deberían ver la documentación de su firewall para obtenerinstrucciones sobre cómo eliminar esta etiqueta. La desventaja de esta implementación es queconfigurarla requiere más esfuerzo.Especificar el tráfico que el proxy examina

Administración del tráficode Symantec EDR a losservidores de backend deSymantec

Este tráfico del proxy no admite la interceptación de SSL. Si el servidor proxy tiene la interceptaciónde SSL habilitada, los clientes deben crear una política para permitir que se omita el tráfico deSymantec. Esta política impide que el proxy analice el tráfico de Symantec, lo que reduce lasdemandas de recursos.

Matriz de compatibilidad de plataformas de Symantec EDRUse la matriz que aparece a continuación para verificar que la instalación actual de Symantec EDR cumpla con losrequisitos para admitir las funciones de Symantec EDR.

Table 13: Matriz de compatibilidad de plataformas

Plataforma Configuración Especificaciones ECC 1.0ECC 2.0Eventos

predeterminados¹

ECC 2.0Todos loseventos

Analizadorsolamente

Modo TAP deprocesamiento

Analizadorsolamente

Modo inline deprocesamiento

Máquinavirtual ESXi

ConsulteSymantec EDR3.0 o versionesposteriores deVMware

12 núcleosMemoria: 48GBUnidad dedisco duro: 500GB

20 000endpoints

20 000endpoints

No se admite 300 Mbps 200 Mbps

31




predeterminados¹


Analizadorsolamente


Analizadorsolamente


ConsulteSymantec EDR3.0 o versionesposteriores deVMware con lasespecificacionesde adición de HD

12 núcleosMemoria: 48GB1,5 TB (1 TBdisco duro,además deldisco duro de500 GB de lamáquina virtualexistente)

80 000endpoints

80 000endpoints

10 000endpoints

300 Mbps 200 Mbps²

S550 Configuraciónpredeterminada

18 núcleosMemoria: 192GBUnidad dedisco duro:4,158 GB

100 000endpoints

100 000endpoints

50 000endpoints

N/D N/D

8840 8840v1 Dell r220 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB

10 000endpoints

No se admite No se admite 1.4 Gbps 950 Mbps

8840v2 Dell r330 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB

10 000endpoints

No se admite No se admite 1.4 Gbps 950 Mbps

8880 8880v1 Dell r720 12 núcleosMemoria: 96GBUnidad dedisco duro: 931GB

50 000endpoints

No se admite No se admite 2.7 Gbps 1.8 Gbps

8880v1 Dell r720+ HD


50 000endpoints

50 000endpoints

25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)

2.7 Gbps 1.8 Gbps

32




predeterminados¹


Analizadorsolamente


Analizadorsolamente


8880v2 Dell r730 18 núcleosMemoria: 96GBUnidad dedisco duro: 558GB

90 000endpoints

No se admite No se admite 2.7 Gbps 1.8 Gbps

8880v2 Dell r730+ HD


90 000endpoints

50 000endpoints

25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)

2.7 Gbps 1.8 Gbps

8880v3 Dell r730con memoria yHD


100 000endpoints

100 000endpoints

50 000endpoints

2.7 Gbps 1.8 Gbps

¹ Los eventos de inicio y de finalización de procesos están deshabilitados.

² Symantec no recomienda el modo inline para el appliance virtual. Cuando se implementa un appliance virtual en elmodo inline, se corre riesgo porque no se puede omitir.

Cómo obtener un archivo de licencia de Symantec EDR e instalarloCuando compre Symantec EDR, Broadcom le enviará un correo electrónico de bienvenida con la confirmación del pedidoque incluye el número de serie y un archivo adjunto con la clave de licencia.Si no ha recibido una carta de bienvenida de Broadcom o no puede encontrar el archivo de la clave de licencia, haga clicaquí para acceder al sitio web de Broadcom desde el que podrá acceder al archivo de la clave de licencia.

Guarde el archivo de la clave de licencia en una ubicación a la que pueda acceder desde la EDR appliance console.

Instale el archivo de la clave de licencia en la EDR appliance console para la activación del producto.

1. En EDR appliance console, haga clic en Settings (Configuración) > Global.

2. Desplácese hacia abajo hasta la sección Licensing (Licencias) y haga clic en Upload License (Cargar licencia).

3. En el cuadro de diálogo Cargar licencia, vaya al archivo de licencia, selecciónelo y después haga clic en Cargar.

La nueva licencia surte efecto de forma inmediata, aunque deba ser distribuida a cada uno de los analizadores. Si lalicencia anterior ha caducado, asegúrese de habilitar de nuevo el análisis en todos los dispositivos analizadores.

Configurar la interfaz de red y habilitar el análisis

33

https://www.broadcom.com/support/symantec/getting-started#on-premises-security-products



Related LinksSymantec to Broadcom Transition Guide - My Entitlements

34

https://ca-broadcom.wolkenservicedesk.com/external/article?articleId=145885&_ga=2.206883987.1048733966.1583761188-848804485.1572636998



Instalación de un appliance

Flujo de trabajo de la instalación del appliance de Dell

Paso Acción Descripción

1 Complete todos loselementos en la lista decomprobación previa a lainstalación.

Completar la lista de comprobación previa a la instalación asegura que cumple todoslos requisitos necesarios para instalar un appliance. También garantiza que se hayancompletado todas las tareas requeridas antes de que comience la instalación.Lista de comprobación previa a la instalación para los appliances físicosHoja de trabajo de instalación del appliance físico

2 Instale el appliance. Instale el hardware en un bastidor y conecte los cables de red y los cables dealimentación.

Note: El rol del appliance (todo en uno, plataforma de administración o analizadorde red) y el modo de funcionamiento determinan las conexiones por cable y lasasignaciones de puertos.

Note: Acerca de los roles de funcionamiento, los modos de funcionamiento yconexiones de red

Instalación del appliance 8840Instalación del appliance 8880

3 Configure el iDRAC. El controlador de acceso remoto integrado de Dell (iDRAC) en un applianceproporciona acceso remoto a la consola. Cuando se configura el iDRAC, se asignaa una dirección IP estática al puerto de administración del iDRAC. Aunque sepueda usar el DHCP para configurar el iDRAC, se recomienda usar una dirección IPestática.Para acceder a la consola en Symantec EDR, abra un navegador en la red deliDRAC y escriba https://<dirección IP estática del puerto de administración deliDRAC>.Configuración del iDRAC (appliance 8880 solamente)Configuración del iDRAC usando un monitor, un teclado y un mouse opcional

4 Ejecute la secuencia dearranque.

Abra la consola y ejecute la secuencia de arranque.Durante la secuencia de arranque, se le pedirá que proporcione la información de laconfiguración del appliance. Su administrador de Symantec EDR le proporciona estainformación en la lista de comprobación de instalación.Ejecución de la secuencia de arranque para configurar el appliance

5 Ejecute el comandostatus_check.

Ejecute el comando status_check para determinar si la conectividad de redse configuró correctamente. El comando enumera todos los elementos que secomprueban y el estado que indica si cada elemento es correcto o no.Comando status_check

6 Ejecute el asistente deconfiguración.Plataforma deadministración oappliances todo en unosolamente.

El asistente de configuración de Symantec EDR le guía a través de los pasosobligatorios para la configuración de un dispositivo de plataforma de administracióno todo en uno. La configuración incluye cargar la licencia del producto y crearla primera cuenta de administrador, de modo que pueda iniciar sesión en EDRappliance console.Ejecutar el Asistente de configuración

35



Paso Acción Descripción

7 Realizar las tareas ylas configuracionesposteriores a lainstalación.Para todas lasconfiguraciones,excepto la plataforma deadministración.

Después de salir del Asistente de configuración, inicie sesión en EDR applianceconsole. Realice las tareas recomendadas para comenzar a analizar el tráfico yrecopilar los datos de incidentes y eventos.Cómo completar las tareas de configuración

8 Pruebe el appliance. Ejecute el comando status_check para determinar de nuevo si los valores deconfiguración se han especificado correctamente.Symantec tiene una página web de prueba, http://testatp.coe.org.uk, que contieneuna serie de vínculos. Cuando haga clic en cada uno de los vínculos, verá unincidente correspondiente en la base de datos.En el modo de bloqueo inline, las descargas de archivos deben interrumpirse.También debe comprobar si el modo de omisión funciona correctamente.Prueba de Symantec EDR para la supervisión y el bloqueo correctosPrueba del modo de omisión del appliance

Instalación del appliance 8840Puede instalar el appliance 8840 en un bastidor de 19 pulgadas (483 mm). Si no tiene un bastidor, el appliance puedecolocarse sobre una superficie estable.

El panel posterior de 8840 muestra el panel posterior de 8840.

1. Instale los dos rieles incluidos en un bastidor y monte el appliance en el bastidor.

2. Conecte el cable de alimentación a un tomacorriente y, a continuación, a una fuente de alimentación en el appliance.

3. Enchufe un cable Ethernet en el puerto del iDRAC en la parte de atrás del servidor. A continuación, conecte el otroextremo a un conmutador LAN en su red. El puerto del iDRAC está a la izquierda y está marcado por un icono dellave.


36

http://testatp.coe.org.uk



4. Enchufe un cable Ethernet en el puerto de administración y conecte al otro extremo a su red de administración.

5. Para el modo de punto de conexión de red, puede conectar el puerto Supervisión1 a un puerto de punto de conexiónde red o un puerto Span en un conmutador o un router. Para una plataforma de administración, no haga estaconexión.

Para que un appliance opere en el modo de bloqueo inline o el modo de supervisión inline, conecte el puerto WAN alservidor que alberga el firewall.

6. Conecte el puerto LAN a la red LAN corporativa para el modo de bloqueo inline o supervisión inline. Conécteloa un puerto Tap/Span en un conmutador o un router para el modo punto de conexión. Para una plataforma deadministración, no haga esta conexión.

Si el appliance se implementa en el modo de bloqueo inline o supervisión inline, el modo de omisión comienza aoperar.

37



7. Configure el iDRAC usando un monitor y un teclado externos.


8. Abra un navegador en un equipo que esté en la misma red que el appliance y, a continuación, escribahttps://<dirección IP estática del puerto de administración del iDRAC>. El inicio de sesión predeterminado del iDRACes root y la contraseña es calvin. Desde la utilidad de administración de iDRAC, abra una consola al appliance.Inicie sesión con el nombre de usuario admin y la contraseña symantec para iniciar el proceso de secuencia dearranque. Después de que completa y acepta la configuración de la secuencia de arranque, el sistema se reinicia.


9. (Necesario para la plataforma de administración y todo en uno) Abra un navegador y, a continuación, escribahttps://<dirección IP estática del puerto de administración de {{ProductName}}>.

Por ejemplo, escriba https://10.10.10.10 si se ha especificado la dirección IP 10.10.10.10 durante el proceso desecuencia de arranque.

10. (Necesario para la plataforma de administración y dispositivos todo en uno) En la EDR appliance console, escriba elnombre de usuario setup y la contraseña symantec para iniciar y ejecutar el Asistente de configuración.


Si planea instalar un analizador, inicie sesión en EDR appliance console en la plataforma de administración quecontrola el analizador para completar la instalación.

Obtener más información

Consideraciones de compatibilidad sobre cómo utilizar los appliance ATP 8840 con ATP 3.0 y versiones posteriores

Instalar el appliance 8880Puede montar el appliance 8880 en un bastidor de 19 pulgadas (483 mm). Si no tiene un bastidor, el appliance puedecolocarse sobre una superficie estable.

El panel posterior de 8880 muestra el panel trasero de 8880.

1. Instale los dos rieles incluidos en un bastidor y monte el appliance en el bastidor.

2. Conecte cada cable de alimentación a un tomacorriente y, a continuación, a una fuente de alimentación en elappliance.

3. Enchufe un cable Ethernet en el puerto del iDRAC en la parte de atrás del servidor a la izquierda. A continuación,conecte el otro extremo a un conmutador LAN en su red. Habilite el iDRAC usando la pantalla del panel delantero oun monitor y un teclado conectados.



38

https://knowledge.broadcom.com/external/article?legacyId=INFO4643



4. Enchufe un cable Ethernet en el puerto de administración y conecte el otro extremo a la red.

5. Para que un appliance opere en el modo de bloqueo inline o el modo de supervisión inline, conecte el puerto WAN alservidor que alberga el firewall. Para el modo de punto de conexión de red, puede conectar este puerto a un puertode punto de conexión de red o un puerto Span en un conmutador o un router. De forma opcional, puede configurar elpuerto WAN2. En el modo de punto de conexión de red, se puede usar cualquier puerto para supervisar el tráfico.

6. Conecte el puerto LAN a la red LAN corporativa para el modo de bloqueo inline o supervisión inline. Conéctelo a unpuerto Tap/Span en un conmutador o un router para el modo punto de conexión. De forma opcional, puede conectarel puerto LAN2.

Si el appliance se implementa en el modo de bloqueo inline o supervisión inline, el modo de omisión comienza aoperar.

39



7. Abra un navegador en un equipo que esté en la misma red que el appliance y escriba https://<dirección IP estáticadel puerto de administración del iDRAC>. El inicio de sesión predeterminado del iDRAC es root y la contraseña escalvin. Desde la utilidad de administración de iDRAC, abra una consola al appliance. Inicie sesión con el nombrede usuario admin y la contraseña symantec para iniciar el proceso de secuencia de arranque. Después de quecompleta y acepta la configuración de la secuencia de arranque, el sistema se reinicia.


8. (Necesario para la plataforma de administración y todo en uno) Abra un navegador y, a continuación, escribahttps://<dirección IP estática del puerto de administración de {{ProductName}}>.

Por ejemplo, escriba https://10.10.10.10 si se ha especificado la dirección IP 10.10.10.10 durante el proceso desecuencia de arranque.

9. (Necesario para la plataforma de administración y todo en uno) En la EDR appliance console, escriba el nombre deusuario setup y la contraseña symantec para iniciar y ejecutar el Asistente de configuración.

Si planea instalar un analizador, inicie sesión en EDR appliance console en la plataforma de administración quecontrola el analizador para completar la instalación.


Solución de problemas

"Código de error de EPSA: 2000-0251" durante los diagnósticos de hardware de Dell en el appliance ATP8880

40

https://knowledge.broadcom.com/external/article?legacyId=TECH230352



Especificaciones del appliance de Dell de Symantec EndpointDetection and Response

Table 14:

Modelo Factorde forma CPU Memoria Disco

duro

Fuente dealimentación

de energía

Velocidadde

transferenciaNIC

8840 Montaje enbastidor de1U

Único, IntelXeon, seisnúcleos

32 GB 1 unidadde 1 TB

Fuente dealimentaciónnoredundante

500 Mbps 4 puertos Gigabit Ethernet:• 1 par WAN/LAN• 1 puerto de administración• 1 puerto de supervisión

8880 Montaje enbastidor de2U

2 Intel Xeonde 12 núcleos

96 GB 4 x RAID 5de 300 GB

2 fuentes dealimentaciónde 750W, 2fuentes dealimentaciónredundantesde 750W

2 Gbps 1 puerto de supervisión (1 Gigabit)• 4 puertos Ethernet (10 Gigabits)• 2 puertos Ethernet (1 Gigabit)• 2 pares WAN/LAN (10 Gigabits)• 1 puerto de administración (1

Gigabit)• 1 puerto de supervisión (1

Gigabit)

Información de garantía para appliances de Dell

41

https://knowledge.broadcom.com/external/article?legacyId=HOWTO111548



Configuración del iDRAC en un appliance físico

Acerca de iDRACLos appliances de Dell incluyen un controlador de acceso remoto integrado de Dell (iDRAC). Este controladorproporciona (entre otras funciones) acceso remoto de la consola al appliance. Antes de que pueda conectar un appliancefísico a la red usando la secuencia de arranque, debe asignar una dirección de red al iDRAC.

Los procedimientos siguientes describen cómo asignar una dirección IP estática al iDRAC:



En el modelo de ATP 8880, la dirección IP se puede asignar al iDRAC. Asigne la dirección IP usando los controles delpanel delantero o conectando un monitor, un teclado y un mouse opcional al appliance. A continuación, use la utilidad deconfiguración del sistema. El modelo 8840 de Symantec EDR no tiene controles iDRAC en el panel frontal, de forma quees necesario configurar la dirección IP con la utilidad de configuración del sistema.

Para obtener más información sobre las funciones y el funcionamiento de iDRAC, consulte la documentación delcontrolador de acceso remoto integrado de Dell en https://www.dell.com/en-us.

Configurar el iDRAC (appliance 8880 solamente)Antes de comenzar a configurar el iDRAC en el appliance Dell 8880, asegúrese de que el appliance esté conectado a untomacorriente de CA. Estar conectado le da energía al iDRAC, incluso si no lo enciende. Cuando el número de etiquetade servicio aparece en la pantalla del iDRAC, el iDRAC está listo para ser configurado.

Aunque se pueda usar DHCP para configurar la configuración de red del iDRAC, se recomienda asignar una dirección IPestática.

El panel frontal del iDRAC tiene estos tres botones para seleccionar, cambiar e incorporar datos:

✓ = Intro

< = Mueve la selección a la izquierda o disminuye el valor (dependiendo del contexto)

> = Mueve la selección a la derecha o aumenta el valor (dependiendo del contexto)

1. Presione ✓ para entrar en el sistema de menú.

2. Presione > para resaltar Setup (Configuración) y después presione ✓.

3. Con iDRAC resaltado, presione ✓.

4. Presione > para resaltar StaticIP (IP estática) y después presione ✓.

El panel delantero muestra una dirección IP predeterminada. Debe cambiar solamente los números que difieran de ladirección IP estática que desee asignar.

42

https://www.dell.com/en-us



5. Presione > hasta que se haya resaltado un número que desee cambiar y después presione ✓ para seleccionarlo.

6. Presione > para aumentar el valor o < para disminuir el valor. Cuando se muestre el número correcto, presione ✓.

7. Repita los pasos 5 y 6 para cada número adicional que necesite cambiar.

8. Cuando la dirección IP estática sea correcta, presione > hasta que » esté resaltado y después presione ✓.

9. La pantalla muestra la máscara de subred predeterminada (Sub). Use las instrucciones en los pasos 5 y 6 paramodificar los valores según sea necesario.

10. Presione > hasta que » esté resaltado y después presione ✓.

11. La pantalla muestra la dirección IP de gateway predeterminada (Gtw). Use las instrucciones en los pasos 5 y 6 paramodificar los valores según sea necesario.

12. Presione > hasta que » esté resaltado y después presione ✓.

13. La pantalla pregunta si desea configurar el DNS. Se recomienda configurar el DNS. Realizar esta tarea le permiteprogramar recursos de red en el iDRAC en función de los nombres de DNS, en lugar de requerir siempre lasdirecciones IP.

Para configurar el DNS, resalte Yes (Sí) y presione ✓. Vaya al paso 14.

Si no desea configurar el DNS, resalte No y presione ✓. Luego, resalte Guardar y presione ✓. Finalizó laconfiguración.

14. El iDRAC muestra la dirección predeterminada del servidor DNS principal (D1). Use las instrucciones en los pasos 5 y6 para modificar los valores según sea necesario.

15. El iDRAC entonces muestra la dirección predeterminada para un servidor DNS alternativo (D2). Un servidoralternativo es opcional, pero proporciona redundancia en caso de que el servidor DNS principal falle. Use lasinstrucciones en los pasos 5 y 6 para modificar los valores según sea necesario. Si no desea configurar un servidoralternativo, configure todos los valores en cero.

16. Cuando se le pida que lleve a cabo la acción Save (Guardar), resalte Yes (Sí) y presione ✓.

NOTE

La configuración no se aplica hasta que presiona Yes (Sí) para guardar. Si se aleja del appliance antes deguardar la configuración, la pantalla superará el tiempo de espera eventualmente y se perderán todos loscambios de configuración no guardados.

Para obtener más información sobre el iDRAC, consulte la documentación del controlador de acceso remoto integrado deDell en http://dell.com/support/manuals.

Acerca del iDRAC en el appliance físico


Configuración del iDRAC usando un monitor, un teclado y un mouseopcionalLos appliances 8840 y 8880 de Dell tienen puertos USB y VGA en la parte frontal y en la parte de atrás del servidor. Sidesea usar los puertos en el frente, es necesario eliminar el bisel delantero.

43

http://dell.com/support/manuals



Aunque se pueda usar DHCP para configurar la configuración de red del iDRAC, se recomienda asignar una dirección IPestática.

1. Enchufe un cable Ethernet en el puerto del iDRAC en la parte de atrás del appliance a la izquierda. A continuación,enchufe el otro extremo del cable en el conmutador LAN en la red.

2. Conecte un monitor a un puerto VGA en el appliance.

3. Conecte un teclado a un puerto USB en el appliance.

4. Presione el botón de encendido del servidor.

5. Cuando el monitor muestra la pantalla BIOS del sistema, pulse F2 para seleccionar la configuración del sistema.

6. En el menú, seleccione iDRAC Settings (Configuración de iDRAC).

7. En la pantalla de configuración del iDRAC, seleccione Network (Red).

8. Desplácese hacia abajo a IPV4 Settings (Configuración de IPV4) y escriba lo siguiente para el iDRAC:

• Dirección IP estática• Gateway estático• Máscara de subred de IP estática

9. (Opcional) Escriba las direcciones IP para el servidor DNS estático de preferencia y el servidor DNS estáticoalternativo.

Configurar el DNS permite que iDRAC acceda a los recursos de red que usan los nombres de DNS, en vez de lasdirecciones IP. Si no usa DNS, vaya al paso 11.

10. Presione la tecla Tab (tabulación) para resaltar Back (Atrás), después pulse Spacebar (barra espaciadora).

11. Presione la tecla Tab (tabulación) para resaltar Finish (Terminar), después pulse Spacebar (barra espaciadora).

12. Presione Spacebar (barra espaciadora) para seleccionar Yes (Sí) para guardar los cambios.

13. Presione Spacebar (barra espaciadora) para seleccionar OK (Aceptar) en el cuadro de diálogo Success (Resultadocorrecto).

14. Presione Spacebar (barra espaciadora) hasta que se resalte Exit (Salir) y después presione Spacebar (barraespaciadora) para confirmar que desea salir y reiniciar el iDRAC.

15. Abra un navegador y escriba la dirección IP del iDRAC para mostrar la pantalla de inicio de sesión del iDRAC.

16. Inicie sesión en el iDRAC con el Id. root y la contraseña calvin.

17. En la indicación, cambie la contraseña root.

Acerca del iDRAC en el appliance físico


44



Ejecutar arranque

Ejecución de la secuencia de arranque para configurar el appliancePaso 4 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Deberá abrir la ventana de la consola para ejecutar la secuencia de arranque.

Durante la secuencia de arranque, se le pedirá que proporcione la información de la configuración del appliance. Suadministrador de Symantec EDR le proporciona esta información en la hoja de trabajo de instalación.Hoja de cálculo de instalación del appliance virtualCuando la secuencia de arranque se complete, el sistema se reiniciará.

Es posible volver a ejecutar una secuencia de arranque (por ejemplo, para cambiar ciertas direcciones IP) después de lainstalación inicial desde la CLI usando el comando bootstrap. No es posible volver a ejecutar la secuencia de arranquepara cambiar el rol de funcionamiento del appliance.comando bootstrap

1. Realice una de las siguientes acciones:

Appliance virtual 1. En la ventana Integrated Remote Access Controller(Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de laconsola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.

2. Para abrir la ventana de la consola mediante vSphere.3. En el cliente de vSphere, haga clic en la ficha Console

(Consola).4. En el menú de la barra de herramientas, haga clic en el

icono Play (Reproducir).

Appliance físico 1. Presione el botón de encendido del appliance. (Eldispositivo tarda varios minutos en iniciarse).

2. Acceda a la consola a través del terminal de serie o eliDRAC.

2. En la ventana Integrated Remote Access Controller (Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de la consola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.

3. Para abrir la ventana de la consola mediante el cliente de vSphere, haga clic en la ficha Console (Consola) y, acontinuación, en el menú de la barra de herramientas, haga clic en el icono de reproducción.

4. En el mensaje de inicio de sesión en la ventana de la consola, inicie sesión con los siguientes datos:

Nombre de usuario = admin

45

https://knowledge.broadcom.com/external/article?legacyId=howto130413



Contraseña = symantec

La secuencia de arranque comienza de forma automática cuando se inicia sesión por primera vez antes de laconfiguración.

Una vez que se completa la configuración, puede ejecutar la secuencia de arranque de nuevo usando el comandobootstrap de la CLI.

5. Para cada indicación, escriba una respuesta y después presione Intro para especificar la información necesaria.

La tabla siguiente describe las indicaciones de la secuencia de arranque:

New password: (Nueva contraseña:) Escriba una nueva contraseña segura para la consola.Esta contraseña reemplaza la contraseña predeterminada,symantec.

Weak password (Contraseña no segura)Try another [y/n]? (¿Desea probar otra [s/n]?)

Una contraseña similar a una palabra en el diccionario,demasiado corta o que no es lo suficientemente compleja esmenos segura. Escriba y para eliminar la nueva contraseñay para que se le solicite que intente de nuevo. Escriba n paraguardar la nueva contraseña que ingresó previamente.

Re-enter new password (Volver a especificar la nuevacontraseña):

Para confirmar la nueva contraseña, escríbala de nuevo ypresione Intro. Si las dos contraseñas no coinciden, se lepedirá que vuelva a escribir la contraseña.

Seleccione uno de los siguientes roles del appliance:1 = Plataforma de administración ..., 2 = Analizador de red ..., 3 =Todo en uno ... []?

Escriba el número que corresponde al rol para esteappliance. La indicación describe cada uno de los rolesdisponibles.

Configure the management port. IPv4 address []: (Configure elpuerto de administración. Dirección IPv4 []:)

Escriba una dirección IP estática para el puerto deadministración. Para una plataforma de administración o unappliance todo en uno, se usa esta dirección IP para accedera EDR appliance console desde un navegador.

IPv4 Netmask []: (Máscara de red IPv4 []:) Escriba la máscara de red para la dirección IPv4 del puertode administración.

Gateway []: Escriba la dirección IP para el gateway (conmutador o router)que el appliance puede usar para comunicarse con el restode su red.

Name server (IPv4) []:(Servidor de nombres [IPv4]) Escriba la dirección IP de un servidor de nombres que elappliance pueda usar para resolver las direcciones IP.

Configure another nameserver? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])

Escriba y (s) para agregar un servidor de nombres adicionalo n para usar solamente un servidor de nombres. Si escribey (s), se le pedirá que escriba la dirección IP de un segundoservidor de nombres.

Rol del analizador de red solamente:IP address of the Management Platform (Dirección IP de laplataforma de administración):

Escriba la dirección IP del puerto de administración delappliance de la plataforma de administración que controlaeste analizador.

Roles de la plataforma de administración o del analizador de redsolamente:Communication Channel password: (Contraseña del canal decomunicaciones)

Escriba una contraseña segura para cifrar lascomunicaciones entre la plataforma de administración ytodos sus analizadores de red. Esta contraseña debe serla misma para la plataforma de administración y todos losanalizadores de red. Debe ser diferente de la contraseñade la consola de administración. Las letras, los números,los puntos, los caracteres de subrayado y los guionesestán permitidos, y la contraseña puede ser de hasta 50caracteres.

46



Roles de la plataforma de administración o del analizador de redsolamente: Re-enter Communication Channel password: (Volver aescribir contraseña del canal de comunicaciones:)

Para confirmar la contraseña del canal de comunicaciones,escríbala de nuevo y presione Intro. Si las doscontraseñas no coinciden, se le pedirá que vuelva a escribirla contraseña.

Configure IPv4 static routes? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])

Escriba y (s) para configurar una ruta estática IPv4 o npara omitir este paso de configuración. Las rutas estáticaspueden ser necesarias. Por ejemplo, use rutas estáticaspara conectar un analizador de red a su plataforma deadministración.

Destino (CIDR permitido):Gateway (Gateway):

Si elige configurar las rutas estáticas IPv4, se le pediráque escriba la dirección IP de destino y la dirección IP delgateway.

Add another route? [y/n] (¿Desea configurar otro servidor denombres? [s/n])

Después de configurar una ruta estática IPv4, escriba y(s) como respuesta a esta indicación para configurar otraruta estática IPv4. Escriba n para continuar a la siguienteindicación.Es posible configurar hasta tres rutas estáticas IPv4 enla secuencia de arranque. Es posible configurar las rutasestáticas adicionales en EDR appliance console.

What do you want to call this device? (¿Qué nombre desea dar aeste dispositivo?)

Escriba un nombre para identificar este sistema en EDRappliance console. Las letras, los números, los espacios, lospuntos y los guiones están permitidos, y el nombre puede serde hasta 50 caracteres.

Set NTP server [] Escriba la dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que el appliancetenga una hora precisa para indicar cuándo se realizandetecciones.

6. Cuando la configuración se completa, la consola muestra la configuración que usted configuró y después aparece elmensaje Save changes? [y/n] (¿Desea guardar los cambios? [s/n]). Escriba y (s) para guardar la configuración on para rechazarla y realizar cambios.

Si escribe n, la secuencia de arranque se reinicia desde el inicio. La mayoría de las indicaciones muestran el valoranterior que usted ingresó. Presione Intro para aceptar el valor anterior (si está presente) o escriba un nuevo valorpara corregir la entrada.

Comando status_checkPaso 7 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Descripción: Comprobar conectividad del servidor y estado del sistema. Este estado del sistema incluye valores comoestado del puerto de administración, estado de la interfaz, remisión de eventos e incidentes mediante el proxy de red yconectividad a los servidores de Symantec en la nube.

Sinopsis: status_check

Opción o argumento: No aplicable.

Nota: De forma predeterminada, Cynic intenta contactar al servidor más cercano a la ubicación del equipo que envía amenos que se habilite la opción de usar el servidor de Cynic del Reino Unido en la página Settings (Configuración) >Global.

Servidor de Cynic predeterminado: https://api.us.dmas.symantec.com

47

https://support.symantec.com/us/en/article.howto130413.html



Servidor de Cynic del Reino Unido: https://api.eu.dmas.symantec.com

48



Ejecución del Asistente de configuración

Ejecución del Asistente de configuraciónPaso 1 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

El asistente de configuración de Symantec Endpoint Detection and Response le guía a través de los pasos obligatorios parala configuración de un dispositivo de plataforma de administración o todo en uno.

Durante la secuencia de arranque, asignó una dirección IP estática al puerto de administración del appliance. Necesita estadirección IP para acceder al Asistente de configuración y a EDR appliance console.

La cuenta de administración de la consola en la secuencia de arranque es independiente de la cuenta administrativa en elAsistente de configuración.

Este inicio de sesión del asistente de configuración no está disponible una vez completado el asistente.

NOTE

El appliance puede tardar varios minutos en iniciar y en iniciar los servicios necesarios antes de que puedaejecutar el asistente de configuración. Si la dirección IP del puerto de administración no responde, espere unosminutos y vuelva a intentarlo.

1. En un equipo accesible para el appliance, abra una ventana en un navegador compatible y escriba:https://<dirección IP del puerto de administración>.

Por ejemplo, si usted asignó la dirección IP estática 10.20.20.20 al appliance durante la secuencia de arranque,escriba https://10.20.20.20.

NOTE

Es necesario usar el protocolo HTTPS cuando se escribe la dirección del Asistente de configuración. Elprotocolo HTTPS es necesario.

2. Si el navegador muestra una advertencia de conexión o certificado no confiable, elija continuar y agregue unaexcepción, si es necesario.

La interfaz web de Symantec EDR incluye inicialmente un certificado autofirmado que se puede cambiar para usar uncertificado generado por el cliente después de la instalación inicial.

Configuración de acceso seguro a EDR appliance console

3. En la pantalla de inicio de sesión, escriba las siguientes credenciales y después haga clic en Sign In (Iniciar sesión) opresione Enter:

User name (Nombre de usuario): setup

Password (Contraseña): symantec

Esta cuenta se desactiva cuando se completa el Asistente de configuración.

49




4. En la pantalla Terms and Conditions (Términos y condiciones), lea los términos y las condiciones.

Es necesario aceptar los Terms and Conditions (Términos y condiciones) para continuar.

Las opciones de manejo de datos se habilitan de forma predeterminada. Es posible optar por anular la selección deestas opciones.

Habilitar las opciones de manejo de datos

5. Haga clic en Next (Siguiente).

6. Responda a las indicaciones en cada pantalla para completar la configuración obligatoria. Haga clic en Next(Siguiente) para ir a la pantalla siguiente o haga clic en Previous (Anterior) para volver a una pantalla que ustedcompletó.

La tabla siguiente describe las indicaciones adicionales en el Asistente de configuración y cómo responder a ellas.

Upload License (Cargarlicencia)

Haga clic en Browse (Examinar) para localizar el archivo de licencia y seleccione el archivo. Cuandose hace clic en Next (Siguiente), Symantec EDR carga el archivo.Debe cargar una licencia antes de que el dispositivo de Symantec EDR sea funcional. No es posibleusar Symantec EDR después de instalarlo sin una licencia. No existe un período de gracia.Cómo obtener un archivo de licencia de Symantec EDR e instalarlo

SMTP Settings(Configuración de SMTP)

Puede especificar la configuración de SMTP en el Asistente de configuración o puede seleccionarSkip adding SMTP server configuration (Omitir incorporación de la configuración del servidorSMTP) y especificar la configuración más tarde en EDR appliance console.Escriba el Servidor SMTP (nombre de dominio completo permitido) y el número de Puerto de suservidor de correo seguro.En el campo Appliance Email (Correo electrónico del appliance), escriba la dirección de correoelectrónico desde donde se envían las alertas, como una notificación de la caducidad de la licencia.Si su servidor de correo requiere un inicio de sesión seguro para recibir mensajes, seleccioneAuthorize (Autorizar). A continuación, escriba un nombre de usuario y una contraseña que SymantecEDR pueda usar para autenticarse con el servidor de correo.

Create an Administrativeaccount (Crear una cuentaadministrativa)

Especifique un nombre de inicio de sesión, una contraseña, un nombre para mostrar y una direcciónde correo electrónico de usuario para la cuenta de administrador inicial. Se necesita este inicio desesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.

7. Haga clic en Save (Guardar).

8. Haga clic en Exit (Salir) para terminar el asistente de configuración y mostrar la pantalla de inicio de sesión de EDRappliance console.

50



Tareas posteriores a la instalación

Cómo completar las tareas de configuraciónPaso 2 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

Tareas para completar la instalación de Symantec Endpoint Detection and Response enumera las tareas que Symantecrecomienda realizar inmediatamente después de completar la instalación preliminar de Symantec Endpoint Detection andResponse.

Haga clic en los tokens de ayuda contextual en EDR appliance console para obtener más información sobre cómorealizar estas tareas.

Table 15: Tareas para completar la instalación de Symantec Endpoint Detection and Response

Tarea Descripción

Acceder a EDR appliance console. Realice las tareas y las configuraciones posteriores a la instalación en EDR appliance console.Cómo acceder a la EDR appliance console

Configure las siguientes opciones en la página Settings > Global (Configuración > Global).GlobalConfigurar la correlación deSynapse

Si SEP o Email Security.cloud protege la red, configure Synapse para correlacionar los datos deincidentes de estos orígenes con Symantec EDR.Acerca de la correlación de Synapse

Si pretende utilizar SymantecEndpoint Protection con SymantecEDR, configure la conexión delcontrolador de SEPM.

Se puede integrar Symantec Endpoint Detection and Response con Symantec EndpointProtection para:• Recopilar eventos de condena de SEPM y correlacionarlos con eventos de los otros puntos

de control• Configurar Symantec EDR para solicitudes de reputación de proxy desde sus endpoints• Enviar comandos a su instancia de SEPM (por ejemplo, para actualizar su lista de

denegación de SEPM).• Enviar comandos a sus endpoints (por ejemplo, para eliminar un archivo o poner en

cuarentena un endpoint)• Recuperar información de SEPM (por ejemplo, una lista de sus endpoints y su estado en

línea)• Recuperar información de sus endpoints (por ejemplo, un volcado de todos sus eventos)Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection

Configurar copias de seguridad. Configure una o más programaciones de copias de seguridad y ubicaciones.Acerca de hacer copias de seguridad y restauraciones de datos de Symantec EDR

Configure el acceso seguro a EDRappliance console.

Cargue un certificado para cifrar las sesiones de EDR appliance console.Configuración de acceso seguro a EDR appliance console

51




Tarea Descripción

Para la operación en Bloqueoinline, también puede quererpersonalizar la página de bloqueo.

Las páginas de bloqueo se usan solamente cuando usted trabaja en el modo de bloqueo inliney el análisis está activado. Cuando Symantec Endpoint Detection and Response bloquea elacceso a un sitio web o evita la descarga de un archivo potencialmente malicioso, aparece unapágina de bloqueo. A través de la página de bloqueo, se le informa al usuario que la página estábloqueada y a quién tiene que notificar para obtener más información.Personalización y prueba de las páginas de bloqueo

Configure las siguientes opciones en la página Settings > Appliance (Configuración > Appliance).AppliancesEstablezca la configuración de redinterna.

Cuando define sus redes internas, especifica qué equipos son parte de su red y qué equipospertenecen al mundo exterior. Con esta información, Symantec EDR puede distinguir entre losequipos protegidos y los equipos que están fuera de la red.Definición de las redes internas a Symantec EDR

Configure la configuracióndel proxy de red y el proxyempresarial, si estos proxies estánpresentes en el entorno.

Symantec EDR admite los siguientes tipos de configuración proxy:• Un proxy de red. Symantec EDR usa un proxy de red para acceder a la red externa.• Un proxy empresarial dentro de un entorno empresarial. Symantec EDR trata al tráfico que

se dirige a un proxy empresarial (que pueda tener una dirección IP dentro de una red interna)de manera diferente que al tráfico que se dirige con un proxy de red.

Si usa proxies, cada appliance de Symantec EDR, ya sea en rol analizador, independiente oCIU, debe tener las direcciones IP de los proxies existentes.Configurar información del proxy de redCrear una lista de proxy empresarialesEspecificar el tráfico que el proxy examina

Configurar conexiones del servidorSyslog.

Conectarse a uno o más servidores Syslog (un SIEM, por ejemplo) para capturar y para informardatos externamente.Configuración de las conexiones a los servidores syslog

Configuración de servicios deaislamiento de procesos.

De forma predeterminada, Symantec EDR envía archivos al sistema de desactivación desoftware malicioso basado en la nube de Cynic de Symantec para su análisis. Sin embargo,puede mantener el análisis de archivos local y enviar los archivos a un appliance de análisis desoftware malicioso de Symantec de propiedad del cliente en las instalaciones para desactivacióny análisis.Configuración de Symantec EDR para usar aislamiento de procesos en la nube o aislamiento deprocesos en las instalaciones

Habilitar el análisis Después de configurar las opciones del appliance, se recomienda habilitar el análisis.Configurar la interfaz de red y habilitar el análisis

Configure las siguientes opciones en la página Settings > Users (Configuración > Usuarios).Administración de usuariosAgregar nuevas cuentas de EDRappliance console

Agregue cuentas adicionales de Admin (Administrador), Controller (Controlador) y User (Usuario)para acceder a EDR appliance console.Sugerencia: Como práctica recomendada, debe configurar al menos una cuenta de usuariode administrador adicional inmediatamente después de la instalación en caso de que hayaun problema de acceso a la EDR appliance console con las credenciales de cuenta deadministrador iniciales.Cómo agregar cuentas de usuario localLista de comprobación previa a la integración con Active Directory

Configure las siguientes opciones en la página Reports (Informes).Configurar informes. Configure los informes que se pueden generar en una programación diaria, semanal o mensual.

Acerca de informes

Prueba de Symantec EDR para la supervisión y el bloqueo correctosPaso 3 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

52




Symantec tiene un sitio web que puede usar para probar que Symantec Endpoint Detection and Response supervisadatos de red.

1. Inicie un navegador web en un equipo de la LAN que esté conectado a Symantec EDR.

2. En Internet, vaya a la siguiente URL:


El sitio web de Broadcom debe visualizarse normalmente sin ningún mensaje.

3. En Internet, vaya a la siguiente URL:


4. Haga clic en cada uno de los vínculos en la página de prueba.

Es necesario ver un incidente correspondiente en la base de datos, si usted está en el modo de punto de conexiónde red o en modo de supervisión inline. Las detecciones de aislamiento de procesos basado en la nube puedenretrasarse durante la ejecución virtual.

Si está en modo de bloqueo inline, se interrumpen las descargas del archivo (excepto los nuevos envíos de archivosal espacio aislado basado en la nube). Los intentos subsiguientes de descargar el mismo archivo se incluyen en unalista de denegación.

Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red

Prueba del modo de omisión del applianceCuando el appliance de Symantec Endpoint Detection and Response está configurado en modo inline, el applianceentra en modo de omisión si no puede funcionar o se desactiva. En modo de omisión, el tráfico de Internet se redirige através de los puertos LAN y WAN, pero no se realizan supervisiones ni bloqueos. Para que el modo de omisión funcionecorrectamente, asegúrese de usar el tipo adecuado de cables Ethernet para la conexión a la LAN. Los indicadores LEDen la parte posterior de los appliances indican el modo de omisión si el appliance no está apagado.

NOTE

En el modo de omisión, los cables Ethernet en el puerto LAN y WAN se interconectan. Debe garantizar quela longitud total de los cables interconectados no supere la longitud máxima del cable Ethernet. La longituddel cable Ethernet, por estándar de cableado ANSI/TIA/EIA, es 100 m para Cat5e y Cat6. Para obtener másinformación sobre la longitud del cable Ethernet, consulte los estándares de cableado de ANSI/TIA/EIA.

Para probar el modo de omisión del appliance físico

1. En el panel de navegación izquierdo, haga clic en Settings (Configuración) > Appliances y, a continuación, hagaclic en un appliance de la lista.

Aparece la página de detalles del appliance.

2. En el panel Network Interface Settings (Configuración de interfaz de red), haga clic en el conmutador en el campoScanning (Análisis) para configurar el análisis en la posición Off (Desactivado). Haga clic en OK (Aceptar) si uncuadro de diálogo de advertencia que aparece le pregunta si está seguro de que desea deshabilitar el análisis.

Con el análisis deshabilitado, el appliance físico debería operar en el modo de omisión.

53





3. Intente acceder a Internet desde un equipo en la red LAN que el dispositivo supervisa o protege.

Debe poder acceder a Internet. Los indicadores LED de omisión en la parte posterior del appliance de Symantec EDRdeben estar encendidos, pero no deben centellear.

4. En EDR appliance console, haga clic Settings (Configuración) > Appliances y seleccione el dispositivo de la lista.A continuación, haga clic en el conmutador en el campo Scanning (Análisis) para configurar el análisis en la posiciónOn (Activado). Haga clic en OK (Aceptar) si un cuadro de diálogo de advertencia aparece preguntando si deseacontinuar.

5. Pruebe Symantec EDR para asegurarse de que funcione correctamente.

Prueba de Symantec EDR para la supervisión y el bloqueo correctos

Cómo acceder a EDR appliance consoleAcceda a la consola del appliance de EDR para configurar y administrar Symantec EDR, así como para realizar labúsqueda y recuperación de amenazas.

Acceda a EDR appliance console desde un navegador web en cualquier equipo cliente que pueda conectarse al puertode administración de la plataforma de administración o del appliance todo en uno.

NOTE

Para ver las páginas del appliance de Symantec EDR o acceder a la consola de Symantec EDR medianteel sitio web en la nube, debe estar conectado mediante la red LAN o VPN de su empresa o proporcionarle aSymantec EDR una dirección IP pública que sea accesible desde Internet. De lo contrario, aparece el siguientemensaje de error: No se puede mostrar esta página.

Si está utilizando un certificado autofirmado para su instalación de EDR, deberá aceptar el certificado en sunavegador.

1. En el equipo que puede acceder a la red conectada al puerto de administración, abra un navegador web.

2. En el navegador web, escriba lo siguiente:

https://<dirección IP>

Donde<dirección IP>es la dirección que se ha especificado para el appliance durante el proceso de secuencia dearranque.

Por ejemplo, si la dirección IP que usted especificó para el appliance es 192.168.42.24, vaya a la siguiente URL:

https://192.168.42.24

NOTE

Se debe utilizar el protocolo HTTPS para acceder a la EDR appliance console.

Para ciertos navegadores web, se debe configurar una excepción de seguridad del certificado para acceder a la EDRappliance console.En general, este paso es necesario solamente al iniciar sesión por primera vez en cada equipo.

3. En la página Log On (Inicio de sesión), en el campo User Name (Nombre de usuario), escriba el nombre de usuarioque le haya asignado el administrador.

4. En el campo Password (Contraseña), escriba la contraseña.Se le bloquea después de cinco intentos incorrectos.

Configuración de acceso seguro a EDR appliance console

Configuración del acceso de inicio de sesión único (SSO) a la EDR appliance console

Requisitos del navegador para EDR appliance console

54



Migración de datos durante la actualización a ATP v.3.1

Migración de datos durante la actualización a Advanced ThreatProtection v.3.1Cuando actualiza a Advanced Threat Protection 3.1, sus datos existentes se migran a una nueva versión de la base dedatos de Elasticsearch. La siguiente lista proporciona notas importantes sobre el proceso de migración de datos:

WARNING

No se admite la recuperación. Es necesario realizar una copia de seguridad remota de sus datos antes decontinuar con la actualización.

• Durante el procedimiento de actualización, la instalación de Symantec EDR no está disponible para operar connormalidad. El período que la instalación está fuera de servicio varía según la cantidad de datos migrados. En lamayoría de los casos, se espera que el tiempo de inactividad sea de 4 horas o menos.

• La migración de datos a la versión 3.1 es más exhaustiva que las migraciones anteriores. Por este motivo, esnecesario programar la migración para que se produzca durante las horas de poca actividad o no operativas.

• Se le pide verificar la actualización.• El estado de sistema es Warning (Advertencia) durante el proceso de migración.• Las actualizaciones de progreso y los mensajes de error están disponibles en el portal, en Logging > System

Activity (Registro > Actividad del sistema). El filtro rápido en Features > Data Migration (Funciones > Migración dedatos), proporciona estadísticas de migración de datos.

• Solamente los últimos 90 días de datos se migran.• Los datos operativos se migran primero. Otros datos se pueden migrar en segundo plano después de que se

complete el resto de la actualización.• Las siguientes funciones no están disponibles durante la migración de datos no operativos:

– Splunk– API pública– Service Now– Reports (Informes)– Criterio– Restauración de copia de seguridad

• El tema Acerca del proceso de migración de datos proporciona información adicional sobre la disponibilidad delservicio durante el proceso de migración y la secuencia de migración de datos.

• Borre su memoria caché del navegador después de la actualización.

Acerca del proceso de migración de datosCuando actualiza a Symantec Advanced Threat Protection (ATP) v.3.1, se migran los datos de funcionamiento y nooperativos a la base de datos de Elasticsearch actualizada del producto. Estos datos se definen de la siguiente manera:

Datos operativos

Los datos operativos corresponden a las entidades en el sistema, tales como los endpoints, los archivos, los dominios yagregados. Estos datos se muestran en el widget de actividad de eventos en el panel de información.

Se migran los datos operativos después de que el producto se actualiza a ATP 3.1.0, pero antes de que se reinicie elproducto. Cuando la EDR appliance console está disponible después del reinicio, el administrador de Symantec EDRpuede ver todas las entidades y el panel de información, con las excepciones siguientes:

55



• Los datos de click-through en el panel de información para los eventos correspondientes no está disponible hasta quela migración de los datos no operativos está en curso.

• Los incidentes y las entidades relacionadas no están disponibles hasta que la migración de datos no operativos estáen curso.

Datos no operativos

Los datos no operativos corresponden a los eventos históricos, los incidentes, los resultados de comando, los estados decomando y el registro del sistema. Estos datos se migran después de que el appliance se reinicie después de realizar laactualización a ATP 3.1.0. Estos datos se migran en tres fases:

• Fase 1– Migra los eventos y los incidentes de los últimos 7 días.– No se migran los eventos de respuesta en vivo de los últimos 7 días.– El tiempo para completar esta migración depende del tamaño, pero debe completarse en las primeras 12 horas

después de la actualización.– Los servicios del controlador de Splunk, Service Now y API públicas están habilitados después de completar esta

fase.• Fase 2

– Migra los eventos de respuesta en vivo de los últimos 7 días.– El tiempo para completar la fase 2 depende del tamaño, pero debe completarse en los primeros 2 a 5 días después

de la actualización.– No se habilitan servicios adicionales después de completar esta fase.

• Fase 3– Migra todos los índices restantes.

NOTE

La migración sólo mueve los índices de los últimos 3 meses.– El tiempo para completarse la Fase 3 depende de la cantidad de datos.– Servicios de restauración de copia de seguridad, criterio e informes se habilitan después de completar esta fase.

NOTE

Durante la migración, el indicador System Health (Estado del sistema) de Symantec EDR situado en la esquinasuperior derecha de la EDR appliance console aparece en amarillo. Cuando la migración se completa, esteindicador aparece de color verde.

Migración de datos durante la actualización a Advanced Threat Protection v.3.1

56



Appendix Materials

57



Puertos, conectores e indicadores en el appliance

Acerca de los puertos, los conectores y los indicadores del appliancePuertos, conectores e indicadores en los appliances de Symantec EDR describe los puertos, los conectores y losindicadores que se encuentran en la parte posterior de los appliances de Symantec EDR.

NOTE

Las conexiones varían entre modelos, versiones y roles.

Conexión de los cables en el appliance S550


Table 16: Puertos, conectores e indicadores en appliances de Symantec EDR

Puerto, conector o indicador Descripción

Unidad de distribución de energía(PDU) (recomendada)

Symantec recomienda usar una PDU para mejorar la calidad de la energía, el equilibrio decarga y el control y la supervisión remota.

Puerto USB Es posible usar este puerto para crear una nueva imagen del host con una memoria USB oun DVD que se conecte mediante un enchufe USB.

Puerto serie Conecte el puerto serie a otro equipo para acceder a la interfaz basada en caracteres de laConsola de serie.

Puerto Ethernet LAN/Monitor2 En el modo de punto de conexión de red, puede conectar el puerto Monitor2 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN a un conmutador conectado a su red interna.

Puerto Ethernet WAN1/Monitor1 En el modo de punto de conexión de red, conecte el puerto Supervisión1 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto WAN1 a un conmutador hacia su conexión a Internet osu firewall.

Puerto Ethernet LAN1/Monitor2 En el modo de punto de conexión de red, puede conectar el puerto Monitor2 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN1 a un conmutador conectado a su red interna.

Puerto Ethernet WAN2/Monitor3 En el modo de punto de conexión de red, puede conectar el puerto Monitor3 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto WAN2 a un conmutador hacia su conexión a Internet osu firewall.

Puerto Ethernet LAN2/Monitor4 En el modo de punto de conexión de red, puede conectar el puerto Monitor4 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN2 a un conmutador conectado a su red interna.

Puerto Ethernet de administración(Mgmt)

Conecte el puerto de administración a un conmutador conectado a su red interna.El puerto de administración debe tener acceso a lo siguiente:• Servidor de nombres de dominio (DNS)• Servicios de Internet necesarios

Energía Este conector suministra electricidad al appliance. Es posible que el appliance cuente con unconector eléctrico adicional redundante.

58



Puerto, conector o indicador Descripción

Omitir indicadores LED de la NIC Hay tres pares de indicadores LED en la tarjeta NIC de omisión.El par Vínculo/Actividad es verde sólido y emite una luz intermitente verde en la actividadcuando el modo de omisión está apagado. Se apaga cuando el modo de omisión estáencendido.El par de omisión es verde sólido cuando el appliance se está ejecutando en el modo deomisión y se apaga cuando el modo de omisión está apagado.El par DISC siempre está apagado (no se usa).

59

Documents

Response 4.5 para appliances Dell 8840 y 8880 Guía de