Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=cloud-native-security-profile-advanced

Configuración avanzada de los perfiles de detección en tiempo de ejecución de Linux

Los perfiles de detección en tiempo de ejecución de Linux tienen varias versiones, categorías de reglas y opciones de filtrado para ayudarle a personalizar los perfiles para su entorno.

Versiones

Hay dos versiones diferentes que pueden cambiar en un perfil de detección en tiempo de ejecución de Linux:

  • Versión de perfil: Las versiones de perfil comienzan con la creación inicial de un perfil y se crea una nueva versión cada vez que se realizan cambios. Esto le permite realizar un seguimiento de los cambios y actualizaciones del perfil a lo largo del tiempo.
  • Versión de contenido: Es la versión del contenido predeterminado de SophosLabs que se utiliza en un perfil.

Actualizaciones de contenido

Las actualizaciones de contenido de los perfiles de detección en tiempo de ejecución de Linux afectan de forma diferente a los agentes de Sophos Protection para Linux (SPL) y los Sophos Linux Sensors (SLS):

  • SPL: Los agentes de SPL siempre utilizan la última versión del contenido predeterminado de SophosLabs. Cuando SophosLabs publica una versión actualizada del contenido predeterminado, los agentes de SPL extraen el contenido y actualizan sus perfiles preexistentes basándose en la nueva versión del contenido. Esto significa que quizá deba actualizar sus perfiles en función de las actualizaciones del contenido predeterminado de SophosLabs. Por ejemplo, si selecciona Verdadero para el filtro Modificado en un perfil, solo se mostrarán las reglas que haya editado previamente para que pueda comprobar los cambios.
  • SLS: SLS le permite configurar perfiles basados en la versión del contenido predeterminado de SophosLabs que esté utilizando para sus sensores. SLS debe actualizarse manualmente cuando haya disponible una nueva versión de contenido.

Categorías de reglas

Los perfiles de detección en tiempo de ejecución de Linux tienen dos fichas para las reglas: Análisis de detecciones y Política inteligente.

Análisis de detecciones

Análisis de detecciones incluye detecciones basadas en la monitorización de bajo nivel del sistema que detectan indicadores de comportamiento malicioso. SophosLabs las separa en las siguientes categorías:

  • Explotación de aplicaciones: Detecta la explotación de las aplicaciones que se ejecutan en el host, por ejemplo, daños en la memoria o un comportamiento inusual de la aplicación.
  • Explotación del sistema: Detecta la explotación de vulnerabilidades en el sistema Linux, por ejemplo, el aumento de privilegios y la manipulación de los mecanismos de seguridad.
  • Persistencia: Detecta eventos que proporcionan un acceso continuado tras el reinicio del host, por ejemplo, puertas traseras en el kernel o en UserLAnd.

Política inteligente

Política inteligente incluye detecciones basadas en la actividad posterior a un evento en el que un proceso ya ha activado una detección inicial. Estas detecciones ayudan a proporcionar un contexto para eventos adicionales que pueden ser maliciosos. SophosLabs las separa en las siguientes categorías:

  • Actividad de archivo: Cambios en los binarios del sistema, configuraciones y actualizaciones de archivos.
  • Actividad de red: Actividad que indica movimiento lateral y comportamiento del servicio de red.
  • Actividad de proceso: Ejecución anómala de procesos, uso del compilador/depurador, y cambios y actualizaciones de tareas programados.
  • Actividad de usuario: Actualizaciones de privilegios y cuentas de usuario.

Detalles

Puede ver los siguientes detalles de las reglas en cada ficha:

  • Nombre de regla El nombre de la regla. Haga clic en Nombre de regla en la parte superior de la columna para ordenar las reglas por orden alfabético.
  • Descripción de la regla: El comportamiento que activa la alerta y por qué puede considerarse malicioso.
  • Modificada: Muestra si la regla se ha modificado o no a partir del contenido predeterminado de SophosLabs.
  • Configurable: Muestra si la regla se puede personalizar o no.
  • Categoría: La categoría de la regla. Consulte Categorías de reglas.
  • Activada: Muestra si la regla está activada o desactivada.

Filtros

Puede aplicar filtros a la lista para facilitar la búsqueda de reglas individuales. Puede filtrar la lista por Categoría, Activada, Modificada y Configurable. Para aplicar filtros, haga lo siguiente:

  1. Haga clic en Mostrar filtros.
  2. Despliegue las categorías que desea filtrar.

  3. Seleccione los elementos que desea mostrar en la lista de reglas.

    Sugerencia

    Puede aplicar varios filtros en varias categorías simultáneamente.

  4. Haga clic en Aplicar.

Haga clic en Ocultar filtros para ocultar las opciones de filtrado.

Para eliminar los filtros aplicados, haga clic en Borrar todo y, a continuación, haga clic en Aplicar.

Nota

Al hacer clic en Ocultar filtros no se eliminan los filtros de la lista de reglas. Debe borrar los filtros aplicados manualmente.

Detalles de la regla

Puede hacer clic en una regla para ver los siguientes detalles y opciones de personalización:

  • Activada: Muestra si la regla está activada o desactivada.
  • Descripción: El comportamiento que activa la alerta y por qué puede considerarse malicioso.
  • Mensaje de alerta: Mensaje de alerta que aparece cuando se activa la regla.
  • Prioridad: La gravedad de la alerta.
  • Técnicas de MITRE ATT&CK: La técnica de MITRE relacionada con la regla. Al hacer clic en el número de la técnica, accederá a la página de MITRE correspondiente para obtener todos los detalles sobre la detección.
  • Salida: El contenido del campo "salida" dentro de una detección.

Listas de permitidos y bloqueados

Lista de permitidos y bloqueados le permite seleccionar en un menú desplegable las listas de permitidos y bloqueados asociadas a la regla. Estas listas le permiten activar o desactivar elementos individuales dentro de una regla para adaptarlos a su entorno.

Añadir una entrada

Puede hacer clic en Añadir entrada para añadir un elemento personalizado a una regla.

Puede diferenciar entre elementos personalizados y elementos predeterminados de SophosLabs buscando el escudo de Sophos Escudo de Sophos., que solo aparece en los elementos predeterminados de SophosLabs.

Haga clic en la papelera Eliminar. para eliminar un elemento personalizado de una Lista de permitidos y bloqueados.