Response 4.5 para el appliance S550 Guía de instalación de ...

Guía de instalación de Symantec™ Endpoint Detection andResponse 4.5 para el appliance S550

Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el

appliance S550

Table of Contents

Declaración de copyright.................................................................................................................... 4Requisitos del sistema........................................................................................................................ 5

Compatibilidad de la versión de Symantec EDR con appliances.............................................................................. 5Requisitos del navegador para EDR appliance console............................................................................................. 5Requisitos del sistema para la integración de Symantec Endpoint Protection........................................................ 5

Planificación para la instalación........................................................................................................ 7Lista de comprobación previa a la instalación para los appliances físicos..............................................................7Hoja de trabajo de la instalación del appliance físico.................................................................................................8Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red.............................. 12Acerca de cómo seleccionar un analizador de red....................................................................................................16Acerca de las configuraciones de red y las conexiones de puertos....................................................................... 16Dónde colocar el appliance en su red para obtener mejores resultados................................................................18Puertos necesarios del firewall.................................................................................................................................... 22Recomendaciones de proxy......................................................................................................................................... 27Matriz de compatibilidad de plataformas de Symantec EDR.................................................................................... 27Cómo obtener un archivo de licencia de Symantec EDR e instalarlo..................................................................... 29

Instalación del appliance físico........................................................................................................31Flujo de trabajo de instalación del dispositivo S550.................................................................................................31Conexión de los cables en el appliance S550............................................................................................................32Encendido del appliance S550 y verificación de los LED.........................................................................................34Configuración del terminal serie o del software de emulación del terminal........................................................... 35Montaje en bastidor del appliance S550..................................................................................................................... 35

Ejecutar arranque...............................................................................................................................40Ejecución de la secuencia de arranque para configurar el appliance..................................................................... 40

Ejecución del Asistente de configuración...................................................................................... 43Ejecución del Asistente de configuración.................................................................................................................. 43Comando status_check................................................................................................................................................. 44

Tareas posteriores a la instalación..................................................................................................46Cómo completar las tareas de configuración.............................................................................................................46

Prueba de Symantec EDR para la supervisión y el bloqueo correctos................................................................... 47Prueba del modo de omisión del appliance.............................................................................................................48

Cómo acceder a EDR appliance console....................................................................................................................49Appendix Materials............................................................................................................................ 50Appendix A: Puertos, conectores e indicadores en el appliance.................................................51

Acerca de los puertos, los conectores y los indicadores del appliance...................................................................51

2


appliance S550

Appendix B: Especificaciones de hardware....................................................................................53Especificaciones del appliance S550 de Symantec................................................................................................. 53

Appendix C: Volver a instalar Symantec EDR en S550................................................................. 55Volver a instalar Symantec EDR en el appliance 550 desde un dispositivo USB o un DVD................................... 55

3


appliance S550

Declaración de copyright

Declaración de copyright

Broadcom, el logotipo de Pulse, Connecting everything y Symantec se encuentran entre las marcas registradas deBroadcom.

Copyright © 2020 Broadcom. Todos los derechos reservados.

El término \"Broadcom\" se refiere a Broadcom Inc. y/o sus subsidiarias.Para obtener más información, visitewww.broadcom.com.

Broadcom se reserva el derecho de realizar cambios sin previo aviso a los productos o datos en este documento paramejorar la confiabilidad, el funcionamiento o el diseño. Se cree que la información proporcionada por Broadcom esprecisa y confiable. Sin embargo, Broadcom no asume ninguna responsabilidad derivada de la aplicación o el uso deesta información, ni de la aplicación o el uso de ningún producto o circuito aquí descrito, ni transmite ninguna licenciabajo sus derechos de patente ni los derechos de otros.

4

http://www.broadcom.com


appliance S550

Requisitos del sistema

Compatibilidad de la versión de Symantec EDR con appliancesEl appliance S550 de Symantec admite Symantec EDR 4.1 y versiones posteriores.

Los siguientes modelos de appliances admiten Advanced Threat Protection 3.0 y versiones posteriores, así comoSymantec EDR4.0 y posterior:

• Dell 8880• Dell 8840

Los appliances 8880 y 8840 de Symantec EDR incluyen un controlador de acceso remoto integrado de Dell (iDRAC).La consola del iDRAC requiere la última versión de Java Runtime Environment (JRE) instalada en su cliente deadministración.

Información de garantía para appliances de Dell

Requisitos del navegador para EDR appliance consoleLa sección Requisitos del navegador para la EDR appliance console muestra los navegadores web compatibles conla EDR appliance console. JavaScript debe estar habilitado en el navegador y las cookies deben estar habilitadas. Laresolución mínima para visualizar EDR appliance console es 1280 x 1024.

Table 1: Requisitos del navegador para EDR appliance console

Navegador Versión

Microsoft Internet Explorer 11 o posterior

Note: No se admiten los filtros rápidos.

Mozilla Firefox 81.0 o posterior (64 bits)Google Chrome 85.0.4183.121 o posterior (64 bits)Microsoft Edge Versión 85.0.564.63 o posterior (64 bits)Safari No se admiteOpera No se admite

Requisitos del sistema para la integración de Symantec EndpointProtectionRequisitos de la versión de Symantec Endpoint Protection

Symantec Endpoint Detection and Response se puede integrar con Symantec™ Endpoint Protection para mejorar lainformación de eventos y obtener la función Endpoint Communications Channel (ECC). Symantec EDR tiene ciertosrequisitos de la versión basados en los diversos componentes de SEP.

La versión mínima de SEPM es 12.1 RU6 o posterior. Symantec EDR se puede conectar a varios sitios de SEP con unaconexión por sitio de SEP, hasta un total de diez conexiones a hosts de SEPM.

Symantec EDR puede administrar los endpoints del cliente que ejecutan SEP versión 12.1 RU 6 MP3 o posterior con lasfunciones completas de ECC. Sin embargo, los clientes deben ejecutar SEP 14 o posterior para aprovechar las funcionesde ECC 2.0.

5

https://knowledge.broadcom.com/external/article?legacyId=HOWTO111548


appliance S550

Los endpoints del cliente que ejecutan versiones anteriores a SEP 12.1 RU5 no se admiten. Cierta funcionalidad estálimitada para los clientes que ejecutan versiones de SEP entre 12.1 RU5 y 12.1 RU6 MP3. En la documentación deSymantec EDR se describe cualquier límite en cuanto a las funciones según la versión del cliente SEP.

Versiones del cliente de SEP y funciones admitidas de Symantec EDR

Requisitos de la base de datos del recopilador de registros de Synapse

SEPM 14.3 RU1 o posterior utiliza Microsoft SQL Express como base de datos para la recopilación deregistros.Symantec EDR puede acceder a la base de datos sin ningún requisito especial del sistema de host.

SEPM 14.3 MP1 o versiones anteriores son compatibles con la base de datos de MS SQL Server o con una base dedatos integrada.Cuando SEPM utiliza una base de datos integrada, Symantec EDR utiliza un recopilador de registrosen el host de SEPM. Este recopilador de registros requiere que el host de SEPM se esté ejecutando en uno de lossiguientes sistemas operativos:

• Windows 7 (de 64 bits solamente)• Windows 8 (de 64 bits solamente)• Windows Server 2008• Windows Server 2012• Windows Server 2012 R2 o posterior (recomendado)

Consulte la documentación deSymantec Endpoint Protection para conocer los requisitos del sistema de SEPM.

Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection

Instalación del recopilador de registros de Synapse

6


appliance S550

Planificación para la instalación

Lista de comprobación previa a la instalación para los appliancesfísicosLa Lista de comprobación previa a la instalación enumera las acciones que se deben completar y la información que sedebe tener lista antes de instalar un appliance físico.

Table 2: Lista de comprobación previa a la instalación

Acción/Elemento Descripción

Recopilar herramientas. Tenga a mano los siguientes elementos:• Destornillador #2 Phillips• Llave de 8 mm (o una llave inglesa)• Hardware de montaje específico del bastidor del

equipo (consulte la guía del bastidor del equipopara obtener más información)

• Rotulador (opcional)• Elevador mecánico (opcional)• Kit de rieles deslizantes

Asegúrese de que su entorno tenga los recursos necesarios. Compatibilidad de la versión de Symantec EDR conappliancesMatriz de compatibilidad de plataformas deSymantec EDR

Para la instalación inicial, tenga un equipo disponible con un puerto Ethernet ycon acceso del navegador web a:• la red del puerto de administración,• y el iDRAC (appliance físico solamente).

El equipo que usa para configurar el appliancedebe tener acceso a la red de administración enla cual se encuentra el dispositivo de SymantecEDR. Por ejemplo, mediante la conexión a unconmutador o un router. Si configura un appliancefísico, el equipo además debe tener acceso de redal iDRAC.

Tenga un terminal de serie local para el appliance. Para realizar la secuencia de arranque, necesitaráun terminal de serie (equipo): puede ser un servidorinterno independiente especializado o un servidorde Windows que ejecute PUTTY. Resultaríaconveniente que proporcione acceso remotomediante RDP o HTTP. Este equipo también debeser local para el appliance.Este paso es necesario solamente si estáinstalando un appliance S550.Configuración del terminal serie o el software deemulación del terminal

7


appliance S550

Acción/Elemento Descripción

Tenga cables Ethernet (hasta cuatro cables normales y dos cables cruzados)disponibles.

La cantidad y los tipos de cables que se necesitandependen de la configuración de red y la cantidadde puertos LAN y WAN del appliance. Por ejemplo,para permitir que las interfaces de Ethernetnegocien 1000 Mbps, se requieren cables Cat5e oCat6.Es posible que sean necesarios cables cruzadospara una implementación inline.No necesita cables cruzados si uno o ambosdispositivos (conmutador, firewall) conectadosal puerto WAN y LAN tienen una MDI/MDI-Xautomática.Dónde colocar el appliance en su red para obtenermejores resultados

Abra los puertos requeridos en el firewall y otros dispositivos de red. Asegúrese de que los puertos necesarios esténabiertos en su firewall y otros dispositivos de redpara permitir el tráfico al dispositivo de SymantecEDR o desde él. Por ejemplo, HTTP 80 y HTTPS443.Puertos necesarios del firewall

Decida el rol y el modo de funcionamiento. Los roles de configuración de funcionamiento sonlos siguientes:• Todo en uno• Plataforma de administración• Analizador de redAcerca de los roles de funcionamiento, los modosde funcionamiento y conexiones de redAcerca de las configuraciones de red y lasconexiones de puertos

Obtenga el archivo de licencia y asegúrese de que puede acceder al archivo delicencia.

Asegúrese de que se pueda navegar al archivode licencia de Symantec y seleccionarlo desde elequipo que se usa para ejecutar el Asistente deconfiguración.Cómo obtener un archivo de licencia de SymantecEDR e instalarlo

Complete la hoja de cálculo de instalación. Tome todas las decisiones que necesitará parala instalación antes de comenzar. Tener estainformación a mano garantiza que el procesode instalación se ejecute de manera rápida y sinproblemas.Hoja de trabajo de instalación del appliance físico

Hoja de trabajo de la instalación del appliance físicoSymantec EDR le recomienda que complete la hoja de instalación en su totalidad antes de comenzar la instalación.Proporcione esta lista de comprobación a los administradores que realizarán las tareas de instalación. También debeconservar una copia para sus registros con fines de archivado y de copia de seguridad.

8


appliance S550

Table 3: Configuración del iDRAC (solo instalación del appliance de Dell)

Configuración Descripción Valor que debe introducir

Elija la dirección IP, lamáscara de subred, ladirección de gateway y lacontraseña para el iDRAC.

El controlador de acceso remoto integradode Dell (iDRAC) en el appliance físicoproporciona acceso de la consola alappliance. Aunque esté integrado, el iDRACes un dispositivo aparte que requiere supropia dirección de red para funcionar. Lacontraseña es necesaria para acceder a lainterfaz basada en navegador del iDRAC.

Dirección IP:________.________.________.________Máscara de subred:_________________________________Dirección del gateway:________.________.________.________Contraseña:Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Configuración del iDRAC (appliance 8880 solamente)

Configuración del iDRAC usando un monitor, un teclado y un mouse opcional

Table 4: Configuración del terminal serie o del software de emulación del terminal (solo appliance S550)


Configure el software deemulación del terminal.

Debe configurar el programa del terminal parapoder ejecutar la secuencia de arranque.

• Velocidad en baudios = 9600 bps• Paridad = Ninguna• Control de flujo = Ninguno• Bits de datos = 8• Bits de detención = 1

Configuración del terminal serie o el software de emulación del terminal

Table 5: Configuración de la secuencia de arranque (todos los dispositivos físicos)


New password: (Nuevacontraseña:)

Una nueva contraseña segura para laconsola. Esta contraseña reemplaza lacontraseña predeterminada, symantec.

Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Weak password(Contraseña no segura)Try another [y/n]?(¿Desea probar otra [s/n]?)

Note: Una contraseña similar a una palabraen el diccionario, demasiado corta o que noes lo suficientemente compleja es menossegura. Symantec EDR le pedirá queconfirme el uso de una contraseña pocosegura.

________ sí________ no

Re-enter new password(Volver a especificar lanueva contraseña):

Confirme la nueva contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

9


appliance S550


Seleccione uno de lossiguientes roles delappliance:1 = Plataforma deadministración ..., 2 =Analizador de red ..., 3 =Todo en uno ... []?

Especifique el rol del appliance.Acerca de los roles de funcionamiento, losmodos de funcionamiento y conexiones dered

_______ 1: Plataforma de administración_______ 2: Analizador de red_______ 3: Todo en uno

Configure themanagement port. IPv4address []: (Configure elpuerto de administración.Dirección IPv4 []:)

La dirección IP estática para el puerto deadministración. Para una plataforma deadministración o un appliance todo en uno,se usa esta dirección IP para acceder a EDRappliance console desde un navegador.

________.________.________.________

IPv4 Netmask []: (Máscarade red IPv4 []:)

La máscara de red para la dirección IPv4 delpuerto de administración. ________.________.________.________

Gateway []: La dirección IP para el gateway (conmutadoro router) que el appliance puede usar paracomunicarse con el resto de su red.

________.________.________.________

Name server (IPv4) []:(Servidor de nombres[IPv4])

La dirección IP de un servidor de nombresque el appliance pueda usar para resolver lasdirecciones IP.

________.________.________.________

Configure anothernameserver? [y/n](¿Desea configurar otroservidor de nombres? [s/n])

“Sí” agrega un servidor de nombres adicional;“No” usa solamente un servidor de nombres.Si la respuesta es “sí”, proporcione ladirección IP de un segundo servidor denombres.

________ sí________.________.________.________________ no

Rol del analizador de redsolamente:IP address of theManagement Platform(Dirección IP dela plataforma deadministración):

La dirección IP del puerto de administracióndel appliance de la plataforma deadministración que controla este analizador.

________.________.________.________

Roles de la plataformade administración odel analizador de redsolamente:CommunicationChannel password:(Contraseña del canal decomunicaciones)

Una contraseña segura para cifrar lascomunicaciones entre la plataforma deadministración y todos sus analizadores dered. Esta contraseña debe ser la misma parala plataforma de administración y todos losanalizadores de red. Debe ser diferente de lacontraseña de la consola de administración.Las letras, los números, los puntos, loscaracteres de subrayado y los guiones estánpermitidos, y la contraseña puede ser dehasta 50 caracteres.

Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Roles de la plataformade administración odel analizador de redsolamente: Re-enterCommunication Channelpassword: (Volver aescribir contraseña delcanal de comunicaciones:)

Confirme la contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

10


appliance S550


Configure IPv4 staticroutes? [y/n] (¿Deseaconfigurar otro servidorde nombres? [s/n])

“Sí” configura una ruta estática IPv4; “No”omite este paso de configuración.Las rutas estáticas pueden ser necesarias.Por ejemplo, use rutas estáticas paraconectar un analizador de red a su plataformade administración.

________ sí________ no

Destino (CIDR permitido):Gateway (Gateway):

Si elige configurar las rutas estáticas IPv4,escriba la dirección IP de destino y delgateway.

________.________.________.________

Add another route? [y/n](¿Desea configurar otroservidor de nombres? [s/n])

“Sí” para configurar una ruta estática adicionalIPv4. “No” para ir a la siguiente indicación.Es posible configurar hasta tres rutasestáticas IPv4 en la secuencia de arranque.Es posible configurar las rutas estáticasadicionales en EDR appliance console.

________ sí (se admiten hasta tres)________.________.________.________________.________.________.________________.________.________.________________ no

What do you want tocall this device? (¿Quénombre desea dar a estedispositivo?)

El nombre para identificar este sistemaen EDR appliance console. Las letras, losnúmeros, los espacios, los puntos y losguiones están permitidos, y el nombre puedeser de hasta 50 caracteres.

__________________________________

Set NTP server [] La dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que elappliance tenga una hora precisa para indicarcuándo se realizan detecciones.

________.________.________.________

Ejecución de la secuencia de arranque para configurar el appliance

Table 6: Asistente de configuración


Acceder a EDR applianceconsole.

Esta es la dirección IP estática para el puertode administración que se especificó durantela secuencia de arranque.

________.________.________.________

Upload License (Cargarlicencia)

Debe cargar una licencia antes de que eldispositivo de Symantec EDR sea funcional.No es posible usar Symantec EDR despuésde instalarlo sin una licencia. No existe unperíodo de gracia.

Ubicación de la licencia de Symantec EDR:______________________________________

SMTP Settings(Configuración de SMTP)

Symantec le recomienda especialmente que especifique la configuración de SMTP en el asistente deconfiguración. Si lo hace, podrá recuperar una contraseña perdida. También puede seleccionar Skipadding SMTP server configuration (Omitir adición de la configuración del servidor SMTP) y especificarla configuración más tarde en EDR appliance console.

SMTP Server (ServidorSMTP) y Port (Puerto)

El nombre de dominio completo y el númerode puerto del servidor de correo seguro. ________.________.________.________

Correo electrónico delappliance

La dirección de correo electrónico desdedonde se envían las alertas, como unanotificación de la caducidad de la licencia.

___________________@_____________._____

11


appliance S550


Authorize (Autorizar) Si su servidor de correo requiere un inicio desesión seguro para recibir mensajes, escribaun nombre de usuario y una contraseña queSymantec EDR pueda usar para autenticarcon el servidor de correo.

Nombre de usuario:_______________________________Contraseña:Proporcione esta información al administrador que instalael appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Create an Administrativeaccount (Crear unacuenta administrativa)

Estas son las credenciales de inicio de sesión para la cuenta de administrador inicial. Se necesita esteinicio de sesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.

Logon name (Nombre deinicio de sesión)

Nombre de inicio de sesión del administradorinicial _______________________________

Nombre para mostrar El nombre del administrador que apareceinicialmente, tal y como aparece en laconsola de EDR appliance console.

_______________________________

User email address(Dirección de correoelectrónico del usuario)

La dirección de correo electrónico deladministrador inicial para las notificaciones. ____________________@____________._____

Ejecutar el Asistente de configuración

Hoja de trabajo de instalación completada por:

Nombre: _______________________________________ Fecha: _________________________

Proporcionado a:

Administrador de EDR: _____________________________________________ Fecha: _________________________

Lista de comprobación previa a la instalación para los appliances físicos

Acerca de los roles de funcionamiento, los modos de funcionamientoy conexiones de redConfigure cada appliance para Symantec EDR con un rol y un modo de funcionamiento. Juntos, estos determinan cómoel dispositivo se conecta a su red y cómo funciona para proteger su red y para informar las amenazas.

Roles de funcionamiento | Modos de funcionamiento y conexiones de red

Roles de funcionamiento

12


appliance S550

Es posible implementar el appliance como una plataforma de administración, un analizador de red o un dispositivo todoen uno. Se asigna el rol de funcionamiento cuando se ejecuta la secuencia de arranque en el appliance. Estos rolestienen la funcionalidad siguiente:

Plataforma deadministración

Si dos o más appliances están instalados, uno debe implementarse en el rol Management platform(Plataforma de administración).Una plataforma de administración aloja EDR appliance console y muestra los incidentes y endpointsen peligro para todos los analizadores conectados. La plataforma de administración presenta una vistacompleta de la actividad maliciosa en su red. La plataforma de administración además centraliza lasfunciones de configuración, administración y elaboración de informes.La plataforma de administración no analiza el tráfico de red.

Analizador de red Si dos o más appliances están instalados, todos los dispositivos excepto la plataforma de administraciónse deben implementar como analizadores de red. Cada analizador de red puede supervisar el tráfico enuna red diferente y enviar sus datos del incidente a la plataforma de administración. Según el modo defuncionamiento, el analizador de red puede bloquear el tráfico malicioso en tiempo real.Un analizador de red no tiene EDR appliance console. Se configura y se administra el analizador de reddesde la plataforma de administración. Sus datos del incidente se consolidan con los datos del incidentede otros analizadores de red y se informan desde la plataforma de administración. Cuando su red seamplía, se pueden instalar y conectar a la plataforma de administrador analizadores de red adicionalespara proteger las nuevas redes.

Todo en uno Si solamente un appliance está instalado, se debe implementar en el modo todo en uno. Un dispositivotodo en uno realiza las funciones de la plataforma de administración y del rol del analizador de red.

NOTE

Un dispositivo todo en uno no puede funcionar como una plataforma de administración para los analizadores dered. Solamente un appliance que tiene asignado el rol de la plataforma de administración puede administrar unanalizador de red.

Los roles que se eligen dependen de la velocidad de transferencia del tráfico de red. Para las instalaciones pequeñas ymedianas, es necesario tener un appliance que funcione en el rol todo en uno. Para instalaciones más grandes, se debeninstalar varios appliances con uno que actúe de plataforma de administración y que los appliances restantes actúen comoanalizadores de red.


Si desea cambiar el rol de funcionamiento de un appliance después de la instalación inicial, debe reinstalar el softwaredel appliance.

Conexiones de red y modos de funcionamiento

El modo de funcionamiento controla cómo se procesa su tráfico de red. También afecta cómo el appliance se conectafísicamente a su red.

La sección Modos de funcionamiento y conexiones de red de Symantec EDR describe los modos de Symantec EDRque están disponibles para los appliances y las conexiones de red que son necesarios para cada rol. Debe asignar unadirección IP estática a cada conexión de red de Symantec EDR.

13


appliance S550

Table 7: Conexiones de red y modos de funcionamiento de Symantec EDR

Modo Descripción Conexiones de red requeridas

Bloqueo inline En el modo de bloqueo inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Se bloquean lasdescargas de archivos, los sitios web accedidos y el tráfico quese consideren maliciosos. Solamente el modo de bloqueo inlineproporciona protección en tiempo real contra amenazas.El appliance virtual tiene una interfaz inline en el modo debloqueo inline.El modelo ATP 8880 tiene dos interfaces inline en el modo debloqueo inline.

Note: El modo de bloqueo inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.

1 Administración2 WAN2 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)

Supervisión inline En el modo de supervisión inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Los archivosmaliciosos, los sitios web y el tráfico se registran para fines devisibilidad, pero no se bloquean. Cualquier amenaza que seencuentre en el modo de supervisión inline debe atenuarsemanualmente.El modo de supervisión inline se suele usar como prueba delrendimiento del sistema y para analizar un comportamientopotencial de bloqueo (de los informes) antes de implementarel bloqueo. Las conexiones físicas para los modos de bloqueoinline y supervisión inline son idénticas, de forma que no esnecesario volver a cablear cuando se cambia entre estosmodos.El appliance físico tiene dos interfaces inline en el modo desupervisión inline.El appliance virtual tiene una interfaz inline en el modo desupervisión inline.

Note: El modo de supervisión inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.

1 Administración2 WAN2 LAN1 WAN1 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)

14


appliance S550

Modo Descripción Conexiones de red requeridas

Omisión (protecciónde modo inline)

Un appliance físico que se configura en modo inline cambiaautomáticamente a modo de omisión si el appliance no puedefuncionar. También cambia al modo omisión si está apagado.En modo de omisión, el tráfico de Internet fluye a través delos puertos LAN y WAN, pero no se realizan supervisiones nibloqueos. Las operaciones normales se reanudan cuando sereinicia el appliance o se vuelve a habilitar el análisis.Las NIC de Symantec EDR funcionan en el modo NIC estándar(sin conexión entre los puertos LAN y WAN) o en el modo deomisión (con conexión entre los puertos LAN y WAN) segúnestas circunstancias:• Instalada lista para usar:

Modo NIC estándar• Configurada para la implementación inline:

Modo de omisión• Configurada para la implementación de punto de conexión

de red:Modo NIC estándar

• Con una nueva imagen (restablecimiento a los valores defábrica) después de cualquier implementación anterior:Modo NIC estándar

El modo de omisión no está disponible para los appliancesvirtuales. Si un appliance virtual no puede funcionar o estádesactivado, se interrumpen las comunicaciones de red. Poreste motivo, los modos de bloqueo inline y supervisión inline nose recomiendan para los appliances virtuales.

Igual que el modo de bloqueo inline osupervisión inline

Punto de conexiónde red

En el modo de punto de conexión de red, el appliance seconecta al puerto del punto de conexión de red o al puertoSpan en un conmutador. El appliance supervisa una copiadel tráfico entre los endpoints e Internet, de forma que losincidentes de supervisión y registro no afectan el rendimientode la red. Como los motores de supervisión y de registrofuncionan en diversos intervalos, puede haber un retraso leveen detectar los incidentes. Todas las amenazas se debenatenuar manualmente.El appliance puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El appliance virtual puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El modelo 8880 puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red. El modelo 8840 puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.

1 Administración1 conexión de supervisión para cada redsupervisada


En el modo de plataforma de administración, todas lascomunicaciones y la administración pasan a través del puertode administración. Puesto que un appliance de la plataforma deadministración no analiza, solo la conexión de administración esnecesaria.

1 Administración

Se elige el modo de funcionamiento para un dispositivo todo en uno o analizador de red de EDR appliance console. Unaplataforma de administración funciona en el modo de plataforma de administración de forma automática.

15


appliance S550

Configurar la interfaz de red y habilitar el análisis

Acerca de las configuraciones de red y las conexiones de puertos

Dónde colocar el appliance en su red para obtener mejores resultados

Cómo Symantec EDR aplica políticas de la lista de denegación basadas en su modo de funcionamiento

Acerca de cómo seleccionar un analizador de redLos siguientes factores determinan la cantidad de analizadores de red recomendados.

Hardware en comparación a virtual Tome esta decisión según su infraestructura actual. Los usuarios con una inversión importanteen VMware deberían usar appliances virtuales. Los usuarios con una inversión baja o nula enVMware deberían usar hardware.Las soluciones de hardware tienen NIC de omisión, por lo que, en caso de error, SymantecEDR continúa pasando el tráfico cuando se implementa inline. Por lo tanto, el hardware real esconveniente para implementaciones inline.Para obtener más información, consulte la guía de instalación para su plataformacorrespondiente (appliance físico o virtual).

Ancho de banda disponible Las soluciones de hardware tienen mayor velocidad de transferencia que las soluciones virtuales.10 GB por puerto.R220 y R330 tienen una velocidad de transferencia de 1 Gbps en sus NIC únicos. R720 y R730tienen dos NIC que pueden alcanzar 1 Gbps cada uno.Consulte la Guía de evaluación del tamaño de Symantec Endpoint Detection and Response paraobtener más información.

Endpoints totales en laorganización

Mientras que cada implementación varía, el appliance físico tiene una capacidad deaproximadamente 25000 conexiones simultáneas. Estos números son para el modo inline. En elmodo de punto de conexión, el hardware puede admitir aproximadamente el doble de conexionesque en el modo inline.Las máquinas virtuales pueden controlar 2 mil conexiones simultáneas.Mientras que cada implementación varía, R220 y R330 tienen una capacidad deaproximadamente 10000 conexiones simultáneas. R720 y R730s pueden admitir 25000conexiones simultáneas. Estos números son para el modo inline. En el modo de punto deconexión, el hardware puede admitir aproximadamente el doble de conexiones que en el modoinline.

Funciones de Symantec EDR Si la implementación es para usar principalmente el análisis de red, una implementaciónseparada de analizador y plataforma de administración proporciona espacio para aumentar lacapacidad de análisis. En este caso, el appliance físico tiene más capacidad de almacenamientoy es adecuado para la plataforma de administración. La cantidad de analizadores dependería dela cantidad de puntos de entrada y salida en la red y la cantidad de tráfico en esos puntos.Una implementación de todo en uno debe poder administrar todo el tráfico para el crecimientoprevisto de la organización durante la vida del appliance. Si la implementación funcionaprincipalmente como Symantec EDR: Endpoint, seleccione una implementación todo en uno.

Acerca de las configuraciones de red y las conexiones de puertosEn la siguiente tabla se describen las formas de conectar Symantec Endpoint Detection and Response a la red.

NOTE

Las conexiones de puertos varían según el modelo, la versión y el rol del appliance.

16


appliance S550

Conexiones compatibles con rol de appliance

Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a

Punto de conexión dered/puerto SPAN simple

Esta configuraciónsupervisa el tráficoentre los endpoints eInternet, pero no bloquealas transferencias dearchivos o sitios web.El tráfico de Internetse copia al puertoconmutador mediante laduplicación del puertoque se configura en elconmutador.Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Estaconfiguración es fácil y esútil como prueba inicialde Symantec EDR.

Puerto en el conmutadorLAN

Conecte Supervisión1al puerto o punto deconexión de red enel conmutador LANconfigurado en modoSpan.

Sin utilizar

Punto de conexiónde red/Puerto spancon varios puertos desupervisión

Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Lospuertos de supervisiónadicionales permitenque el mismo appliancese conecte a variosconmutadores dediversas subredes. Estaconfiguración no bloquealas transferencias dearchivos o los sitios web.




Inline simple Es posible bloquearlas transferencias dearchivos y los sitiosweb usando estaconfiguración.La configuracióninline necesita másconexiones de red quela configuración porpunto de conexión dered o puerto SPAN.Idealmente, es necesarioimplementar SymantecEDR inline entre elcliente y el firewall. Si usaun proxy, debe conectarel appliance entre elcliente y el proxy.


Puerto LAN del firewallde Internet


17


appliance S550

Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a

Inline con dos firewalls,dos proxy y dosappliances

Puede conectar dosappliances a dosfirewalls como partede un entorno de altadisponibilidad. Puedeconfigurar los firewallscon una conmutaciónpor error activa/activa ocon una conmutación porerror activa/en espera.Debe configurar losappliances de maneraidéntica, excepto por laconfiguración de red.Ambos appliances sedeben conectar a lamisma plataforma deadministración.


Puerto LAN del firewallde Internet



En una configuraciónde plataforma deadministración, unappliance se configurapara administrar otrosappliances. Esteappliance no analiza,de forma que requieresolamente una conexiónde administración.


Sin utilizar Sin utilizar


Dónde colocar el appliance en su red para obtener mejores resultadosLa disposición de su appliance depende de si el appliance es una plataforma de administración, un analizador de red oun dispositivo todo en uno. El appliance de Symantec Endpoint Detection and Response debe poder realizar lo siguientesegún su rol:

• Analizar todo el tráfico de red que entra y sale de la organización• Determinar el origen y el destino de todo el tráfico• Detectar los endpoints de conexión internos• Actuar como servidor proxy de red para los endpoints (si se integra con Symantec Endpoint Protection Manager)• Tener un efecto mínimo en el rendimiento de red

Si su arquitectura incluye una zona desmilitarizada (DMZ) y se integra Symantec EDR con Symantec EndpointProtection, no coloque lo siguiente en la zona desmilitarizada:

• Appliance de la plataforma de administración• Appliance todo en uno• SEP

Implementar el appliance entre un proxy y el firewall evita que Symantec EDR detecte la dirección IP del endpoint deorigen. Es decir que, en este caso, es necesario habilitar el campo con el encabezado X-Forwarded-For:. Es posibleque también necesite configurar su firewall para eliminar el campo con el encabezado X-Forwarded-For:.

Especificar el tráfico que el proxy examina

18


appliance S550

Symantec EDR no analiza el tráfico entre equipos internos. La excepción es cuando uno de los equipos es un servidorproxy. Se analiza el tráfico interno que se dirige a un servidor proxy porque es tráfico de red saliente.

Si desea que Symantec EDR se conecte a Internet a través de un servidor proxy, es necesario tratar el appliancecomo un dispositivo de confianza y deshabilitar la autenticación. Symantec EDR no admite el paso de credenciales deautenticación básica al proxy. Symantec EDR admite la autenticación de contraseñas simple o básica al proxy.

Es posible usar el puerto de administración para cualquiera de las siguientes acciones:

• Para acceder a EDR appliance console.• Para la comunicación con los servidores de Symantec (por ejemplo, LiveUpdate, aislamiento de procesos basado en

la nube, Insight, telemetría, etc.).• Para facilitar la comunicación con SEPM y los endpoints para el proxy del endpoint.

La red de administración no debe estar abierta a Internet por completo. Si necesita acceder a la red de administracióndesde afuera, se recomienda una conexión VPN o una conexión de escritorio remoto efímera.

En el modo inline, el puerto de administración debe estar en una subred diferente de la interfaz inline.

Las siguientes figuras muestran ejemplos de configuraciones de red.

NOTE

Puede usar el appliance 8840 o 8880 de ATP en cualquiera de estas configuraciones.

Es posible que necesite cables cruzados para la implementación inline si los dispositivos conectados a los puertos WANy LAN no tienen la configuración automática de MDI/MDI-X.

19


appliance S550

20


appliance S550

21


appliance S550

Acerca de las configuraciones de red y las conexiones de puertos


Flujo de trabajo de instalación del appliance físico

Flujo de trabajo de instalación del appliance virtual

Puertos necesarios del firewallSegún el diseño de red, es posible que deba abrir algunos puertos en su firewall y editar sus reglas de firewall. Estoscambios le permiten acceder a las direcciones web importantes que son esenciales para las operaciones de SymantecEndpoint Detection and Response.

22


appliance S550

Direcciones IP y web de Symantec EDR enumera las direcciones IP y web a las que Symantec EDR requiere acceso.

Table 8: Direcciones IP y web de Symantec EDR

Direcciones web/dirección IP Protocolo Puerto Descripción

• remotetunnel1.edrc.symantec.com• remotetunnel2.edrc.symantec.com• remotetunnel3.edrc.symantec.com• remotetunnel4.edrc.symantec.com• remotetunnel5.edrc.symantec.com

HTTPS 443 Permite el acceso remoto del Soporte deSymantec al appliance de Symantec EDR.

https://api-gateway.symantec.com TCP 443 Accede al servicio de Targeted AttackAnalytics (Análisis de ataque dirigido) deSymantec.

licensing.dmas.symantec.com TCP 443 Usado para conseguir la licencia de Cynic.api.us.dmas.symantec.comapi.eu.dmas.symantec.com

TCP 443 Usado para realizar consultas a servidores deCynic en EE. UU. y Reino Unido (requeridos).

liveupdate.symantec.com TCP 80 Usado para comprobar si hay definicionespara las tecnologías de detección deSymantec y descargarlas.

ratings-wrs.symantec.com TCP 443 Usado para consultar al servidor de NortonSafe Web para identificar sitios webmaliciosos.

stnd-avpg.crsi.symantec.comstnd-ipsg.crsi.symantec.com

TCP 443 Usado para enviar telemetría de detección aSymantec.

register.brightmail.com TCP 443 Usado para registrar el appliance.swupdate.brightmail.com TCP 443 Usado para comprobar si hay nuevas

versiones de Symantec EDR y descargarlas.shasta-rrs.symantec.comshasta-mrs.symantec.com

TCP 443 Usado para realizar búsquedas de reputaciónpara el archivo ejecutable de Windows y losarchivos instalables de APK.

datafeedapi.symanteccloud.com TCP 443 Usado para descargar Email Security.cloud yeventos de EDR: Roaming.

stats.norton.com TCP 443 Cuando se configura la telemetría, se usa paraenviar estadísticas de telemetría a Symantec.

telemetry.symantec.com TCP 443 Cuando se configura la telemetría, se usapara enviar telemetría de archivo y para cargarpaquetes de diagnóstico a Symantec.

EDR appliance console TCP 443 (entrante) o en elintervalo de 1024 a9997

Acceso a API pública de Symantec EDR.

https://sso1.edrc.symantec.com TCP 443 Usado para SSO.

Puertos y configuración de Symantec EDRdescribe los puertos que Symantec EDR usa para las comunicaciones, lasactualizaciones de contenido y las interacciones con los servicios de detección de Symantec.cloud.

23


appliance S550

Table 9: Puertos y configuración de Symantec EDR

Servicio Protocolo Puerto De Para Descripción

Hacer copia de seguridad FTP; SSH 20 TCP, UDP21 TCP22 TCP, UDP

Plataforma deadministración oappliances todoen uno

Servidor dealmacenamientode copia deseguridadconfigurado(Tráfico interno)

Servidor FTP: puertos 20 y 21del FTPServidor SSH: puerto 22 deSSH

Notificaciones por correoelectrónico

SMTP 25 TCP587 TCP

Plataforma deadministración oappliance todoen uno

Servidor SMTP(Tráfico interno)

Comunicación con el servidorSMTP.

Actualizaciones decontenido

HTTP 80 TCP Todos losappliances

Symantec(Tráfico externo)

Definiciones de virus yVantage y otro contenido queLiveUpdate entrega.Este puerto es necesario parael funcionamiento apropiadodel producto.

Entrega de estadísticas HTTP 80 TCP Todos losappliances


Envía los datos a Symantecpara propósitos estadísticos yde diagnóstico.Los datos privados no seenvían por este puerto.

(ECC) 2.0 HTTPSHTTP

44380

Endpointsadministrados deSEP

Symantec EDR Comunica los comandos conlos endpoints.Acerca de EndpointCommunications Channel

ECC 1.0 HTTPS 8446 Symantec EDR SEPM Comandos de SEPM.Envíos de endpoint/RRSECC 2.0

HTTPSHTTP

4438080

SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.

Envíos de endpoint/RRSECC 1.0

HTTPSHTTPHTTP

443808443¹

SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.

Servicios de detección,análisis, correlación ytelemetría en la nube deSymantec.

Si EndpointActivityRecorder estáhabilitadoSi EndpointActivityRecorder estádeshabilitado

443 TCP Todos losappliances


Intercambios de datos detelemetría y consultas deservicios en la nube.Si Endpoint Activity Recorderestá habilitado, SEP envíaeventos de condenadirectamente a SymantecEDR.

Información sobrecondenas del antivirusy de la prevención deintrusiones

HTTPS TCP 8080 deHTTP o HTTPS443 TCPTCP 80 de HTTP oHTTPS 8443 TCP

Clientes de SEP Plataforma deadministraciónde SymantecEDR

Información sobre los archivosy el tráfico de red que SEPdetecta.

24


appliance S550


Información sobrecondenas del antivirusy de la prevención deintrusiones

HTTPSHTTP

443 TCP80

Plataforma deadministraciónde SymantecEDR

Symantec(tráfico externo)

Información sobre los archivosy el tráfico de red que SEPdetecta.

Actualizaciones delproducto

HTTPS 443 TCP Todos losappliances


Encuentra y entrega versionesmás recientes de SymantecEDR.

EDR appliance console HTTPS 443 TCP443 (entrante) oen el intervalo de1024 a 9997

Cliente que seconecta paraadministrar unappliance

Plataforma deadministración oappliance todoen uno(Tráfico interno)

Acceso a EDR applianceconsole para un appliance todoen uno o una plataforma deadministración.

Los analizadores de redEDR appliance console ytodo en uno

SSH 22 Cliente que seconecta paraadministrar unappliance

Plataforma deadministración,analizador oappliance todoen uno(Tráfico interno)

Acceso de la línea decomandos para un appliancetodo en uno o una plataformade administración.

Conexión de SynapseSEPM con Microsoft SQLServer (opcional)

JDBC TCP 1433 (opciónpredeterminada)


Microsoft SQLServer de SEPM(Tráfico interno)

Necesario si usa MicrosoftSQL Server para SEPM ySynapse.Los administradores deSEPM pueden configurar unpuerto diferente para estacomunicación.

Canal de comunicaciones(instalaciones delanalizador de redy la plataforma deadministración solamente)

AMQP 5671 TCP5672 TCP

Applianceanalizador de red

Plataforma deadministración(Tráfico interno)

Comunicaciones entre laplataforma de administración ylos analizadores de red.No requerido para unainstalación de dispositivotodo en uno. Después delintercambio inicial en estepuerto, la comunicación seprotege.

Bloquear la página(modo de bloqueo inlinesolamente)

HTTP 8080 TCP Analizador dered

Endpointsprotegidos(Tráfico interno)

Envía la página de bloqueocuando el contenido estábloqueado en un endpoint.No requerido para los modosde punto de conexión de red/Span o Supervisión inline.

Conexión de SynapseSEPM con la BD integrada(opcional)Compatible con SEPM14.3 MP1 y versionesanteriores.

HTTPS 8081 TCP (opciónpredeterminada)


Servidor deSEPM(Tráfico interno)

Necesario si usa la basede datos integrada para laconexión de Synapse conSEPM.

Conexión a la base dedatos de SEPM

HTTPS TCP 2638 (opciónpredeterminada)


MS SQL Express

25


appliance S550


Conexión de SynapseSEPM con los serviciosweb de SEPMde Supervisión yadministración remota(RMM) (opcional)

HTTPS TCP 8446 (opciónpredeterminada)


Servidor deSEPM

Necesario si se conectaal servidor de SEPM paraejecutar las operaciones deadministración.Por ejemplo, agregar o eliminarlos elementos de la lista negrao colocar un endpoint encuarentena.

Syslog Syslog El puerto TCP(preferido) oUDP debe ser elmismo que estáconfigurado enEDR applianceconsole paraSyslog

Todos losappliances

Servidor Syslogconfigurado(Tráfico interno oexterno basadoen su entorno)

Si se configura Syslog, estaconexión entrega los mensajesde registro a un Syslog remoto.

EDR: EmailEDR: Roaming

HTTPS 443 TCP Plataforma deadministración oappliance todoen uno

Symantec Esta conexión permite aSymantec EDR recopilareventos de condenas de EDR:Roaming y EDR: Email cuandose habilita la correlación deSynapse para uno de estosservicios.

Active Directory LDAPS 636 Plataforma deadministración oappliance todoen uno

Servidor deActive Directory

Esta conexión permite queSymantec EDR se integrecon Active Directory para laautenticación de usuario.

Vínculo de SecurityAnalytics

HTTPSTCP, UDP

443 Plataforma deadministración oappliance todoen uno

Appliance virtualo appliancede SymantecSecurityAnalytics

Esta conexión le permite aSymantec EDR integrarse conSymantec Security Analyticspara brindar un vínculoen los eventos de registroindividuales para dirigir alos usuarios a informaciónadicional sobre el movimientode red relacionado.

¹ El puerto 8443 está disponible solamente si se ha utilizado este puerto en versiones anteriores de Symantec EDR ydesde entonces se ha actualizado. Si está instalando Symantec EDR por primera vez, este puerto no está disponible.


Flujo de trabajo de instalación del appliance físico

Flujo de trabajo de instalación del appliance virtual

26


appliance S550

Recomendaciones de proxyLas siguientes son recomendaciones de Symantec sobre el proxy:

Análisis de red Las opciones de implementación de proxy son las siguientes:• Implementar Symantec EDR entre la red interna y el proxy.

Se recomienda esta configuración de implementación.Cuando los clientes implementan Symantec EDR entre la red interna y el servidor proxy, seproporciona a Symantec EDR visibilidad completa de la información del endpoint.Es necesario implementar Symantec EDR cuando está equilibrando la carga de proxies entrela red interna y un conjunto de proxy. Esta información asegura que Symantec EDR realizarconmutación por error en el proxy. En esta situación, el puerto LAN del proxy es el lugar bueno aconecte Symantec EDR inline.

• Implementar Symantec EDR entre el proxy y su firewall.Cuando los clientes implementan Symantec EDR entre el proxy y su firewall, los clientes debenhabilitar la función X-forwarded-for en el proxy. El firewall debe tener la capacidad de eliminar lafunción X-forwarded-for. Los clientes deberían ver la documentación de su firewall para obtenerinstrucciones sobre cómo eliminar esta etiqueta. La desventaja de esta implementación es queconfigurarla requiere más esfuerzo.Especificar el tráfico que el proxy examina

Administración del tráficode Symantec EDR a losservidores de backend deSymantec

Este tráfico del proxy no admite la interceptación de SSL. Si el servidor proxy tiene la interceptaciónde SSL habilitada, los clientes deben crear una política para permitir que se omita el tráfico deSymantec. Esta política impide que el proxy analice el tráfico de Symantec, lo que reduce lasdemandas de recursos.

Matriz de compatibilidad de plataformas de Symantec EDRUse la matriz que aparece a continuación para verificar que la instalación actual de Symantec EDR cumpla con losrequisitos para admitir las funciones de Symantec EDR.

Table 10: Matriz de compatibilidad de plataformas

Plataforma Configuración Especificaciones ECC 1.0ECC 2.0Eventos

predeterminados¹

ECC 2.0Todos loseventos

Analizadorsolamente

Modo TAP deprocesamiento

Analizadorsolamente

Modo inline deprocesamiento

Máquinavirtual ESXi

ConsulteSymantec EDR3.0 o versionesposteriores deVMware

12 núcleosMemoria: 48GBUnidad dedisco duro: 500GB

20 000endpoints

20 000endpoints

No se admite 300 Mbps 200 Mbps

27


appliance S550


predeterminados¹


Analizadorsolamente


Analizadorsolamente


ConsulteSymantec EDR3.0 o versionesposteriores deVMware con lasespecificacionesde adición de HD

12 núcleosMemoria: 48GB1,5 TB (1 TBdisco duro,además deldisco duro de500 GB de lamáquina virtualexistente)

80 000endpoints

80 000endpoints

10 000endpoints

300 Mbps 200 Mbps²

S550 Configuraciónpredeterminada

18 núcleosMemoria: 192GBUnidad dedisco duro:4,158 GB

100 000endpoints

100 000endpoints

50 000endpoints

N/D N/D

8840 8840v1 Dell r220 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB

10 000endpoints

No se admite No se admite 1.4 Gbps 950 Mbps

8840v2 Dell r330 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB

10 000endpoints

No se admite No se admite 1.4 Gbps 950 Mbps

8880 8880v1 Dell r720 12 núcleosMemoria: 96GBUnidad dedisco duro: 931GB

50 000endpoints

No se admite No se admite 2.7 Gbps 1.8 Gbps

8880v1 Dell r720+ HD


50 000endpoints

50 000endpoints

25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)

2.7 Gbps 1.8 Gbps

28


appliance S550


predeterminados¹


Analizadorsolamente


Analizadorsolamente


8880v2 Dell r730 18 núcleosMemoria: 96GBUnidad dedisco duro: 558GB

90 000endpoints

No se admite No se admite 2.7 Gbps 1.8 Gbps

8880v2 Dell r730+ HD


90 000endpoints

50 000endpoints

25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)

2.7 Gbps 1.8 Gbps

8880v3 Dell r730con memoria yHD


100 000endpoints

100 000endpoints

50 000endpoints

2.7 Gbps 1.8 Gbps

¹ Los eventos de inicio y de finalización de procesos están deshabilitados.

² Symantec no recomienda el modo inline para el appliance virtual. Cuando se implementa un appliance virtual en elmodo inline, se corre riesgo porque no se puede omitir.

Cómo obtener un archivo de licencia de Symantec EDR e instalarloCuando compre Symantec EDR, Broadcom le enviará un correo electrónico de bienvenida con la confirmación del pedidoque incluye el número de serie y un archivo adjunto con la clave de licencia.Si no ha recibido una carta de bienvenida de Broadcom o no puede encontrar el archivo de la clave de licencia, haga clicaquí para acceder al sitio web de Broadcom desde el que podrá acceder al archivo de la clave de licencia.

Guarde el archivo de la clave de licencia en una ubicación a la que pueda acceder desde la EDR appliance console.

Instale el archivo de la clave de licencia en la EDR appliance console para la activación del producto.

1. En EDR appliance console, haga clic en Settings (Configuración) > Global.

2. Desplácese hacia abajo hasta la sección Licensing (Licencias) y haga clic en Upload License (Cargar licencia).

3. En el cuadro de diálogo Cargar licencia, vaya al archivo de licencia, selecciónelo y después haga clic en Cargar.

La nueva licencia surte efecto de forma inmediata, aunque deba ser distribuida a cada uno de los analizadores. Si lalicencia anterior ha caducado, asegúrese de habilitar de nuevo el análisis en todos los dispositivos analizadores.

Configurar la interfaz de red y habilitar el análisis

29

https://www.broadcom.com/support/symantec/getting-started#on-premises-security-products


appliance S550

Related LinksSymantec to Broadcom Transition Guide - My Entitlements

30

https://ca-broadcom.wolkenservicedesk.com/external/article?articleId=145885&_ga=2.206883987.1048733966.1583761188-848804485.1572636998


appliance S550

Instalación del appliance físico

Flujo de trabajo de instalación del dispositivo S550

Paso Acción Descripción

1 Complete todos loselementos en la lista decomprobación previa a lainstalación.

Completar la lista de comprobación previa a la instalación asegura que cumpletodos los requisitos necesarios para instalar un appliance. También garantizaque se hayan completado todas las tareas requeridas antes de que comience lainstalación.Lista de comprobación previa a la instalación para los appliances físicosHoja de trabajo de instalación del appliance físico

2 Instale el appliance. Instale el hardware en un bastidor y conecte los cables de red y los cables dealimentación.Conexión de los cables

Note: El rol del appliance (todo en uno, plataforma de administración oanalizador de red) y el modo de funcionamiento determinan las conexiones porcable y las asignaciones de puertos.

Note: Acerca de los roles de funcionamiento, los modos de funcionamiento yconexiones de red

Encendido del appliance S550 y verificación de los LEDConfiguración del terminal serie o el software de emulación del terminalMontaje en bastidor del appliance

3 Ejecute la secuencia dearranque.

Abra la consola y ejecute la secuencia de arranque.Durante la secuencia de arranque, se le pedirá que proporcione la informaciónde la configuración del appliance. Su administrador de Symantec EDR leproporciona esta información en la lista de comprobación de instalación.Ejecución de la secuencia de arranque para configurar el appliance

4 Ejecute el comandostatus_check.

Ejecute el comando status_check para determinar si la conectividad de redse configuró correctamente. El comando enumera todos los elementos que secomprueban y el estado que indica si cada elemento es correcto o no.Comando status_check

5 Ejecute el asistente deconfiguración.Plataforma deadministración oappliances todo en unosolamente.

El asistente de configuración de Symantec EDR le guía a través de lospasos obligatorios para la configuración de un dispositivo de plataforma deadministración o todo en uno. La configuración incluye cargar la licencia delproducto y crear la primera cuenta de administrador, de modo que pueda iniciarsesión en EDR appliance console.Ejecutar el Asistente de configuración

6 Realizar las tareas ylas configuracionesposteriores a la instalación.Para todas lasconfiguraciones,excepto la plataforma deadministración.

Después de salir del Asistente de configuración, inicie sesión en EDR applianceconsole. Realice las tareas recomendadas para comenzar a analizar el tráfico yrecopilar los datos de incidentes y eventos.Cómo completar las tareas de configuración

31


appliance S550

Paso Acción Descripción

7 Pruebe el appliance. Ejecute el comando status_check para determinar de nuevo si los valores deconfiguración se han especificado correctamente.Symantec tiene una página web de prueba, http://testatp.coe.org.uk, quecontiene una serie de vínculos. Cuando haga clic en cada uno de los vínculos,verá un incidente correspondiente en la base de datos.En el modo de bloqueo inline, las descargas de archivos deben interrumpirse.También debe comprobar si el modo de omisión funciona correctamente.Prueba de Symantec EDR para la supervisión y el bloqueo correctosPrueba del modo de omisión del appliance

Conexión de los cables en el appliance S550

Asegúrese de que el appliance esté en una superficie plana y nivelada. Si prefiere montar en bastidor el applianceprimero, vaya al siguiente vínculo:Montaje en bastidor del applianceLos cables de red no están incluidos con el appliance. Asegúrese de usar solamente cables Ethernet directos. Serecomiendan los cables de la categoría 6A para la operación de Ethernet.

El siguiente procedimiento describe una implementación de endpoint típica para appliances de Symantec EDR (consultela ilustración a continuación).

32

http://testatp.coe.org.uk


appliance S550

1. Conecte el extremo RJ45 del cable serie incluido en el puerto serie RJ45 del panel real del appliance y conecte el otroextremo DB9 del cable al terminal serie o a la estación de trabajo con software de emulación de terminal.

La conexión en serie es necesaria para realizar la configuración inicial del appliance.

2. Conecte un cable Ethernet al puerto eth0 RJ45 con la etiqueta 0:0 y conecte el otro extremo al interruptor de red deadministración.

3. Conecte los cables de corriente alterna incluidos en las entradas de alimentación del appliance y conecte los otrosextremos a una fuente de alimentación.

Si está utilizando solamente las funciones del canal de comunicación de endpoints (ECC) o el host es una plataformade administración, no se requieren pasos adicionales para conectar los cables. Continúe con el siguiente tema:

Encendido del appliance S550 y verificación de los LED

Si está utilizando puertos de cobre, continúe con el paso 4.

4. Realice una de las siguientes acciones:

• Modo de bloqueo inline o supervisión inline:Conecte el puerto 2:0 al servidor que aloja el firewall. Opcionalmente, puede conectar el puerto 2:2 a otro host defirewall ascendente.

• Modo de punto de conexión de red:Conecte cualquiera de estos puertos a un puerto de punto de conexión de red o Span en un conmutador o unrouter.

33


appliance S550


• Modo de bloqueo inline o supervisión inline:Conecte el puerto 2:1 a la red LAN corporativa. Opcionalmente, puede conectar el puerto 2:3 a la red LANcorporativa.

• Modo de punto de conexión de red:Conecte cualquiera de estos puertos a un puerto de punto de conexión de red o Span en un conmutador o unrouter.

Table 11: Resumen de puertos y funciones

0:0 puerto de administración2:0 Puerto WAN12:1 Puerto LAN12:2 Puerto WAN22:3 Puerto LAN2


Table 12: Estados de los colores LED del panel frontal

LED del panel frontal Estado de color

LED de alimentación • NegroApagado o sin energía.

• ÁmbarEncendido y arrancando.

• Verde intermitenteInterruptor apagado, pero hay energía eléctrica presente.

• VerdeEncendido.

LED de estado del sistema • NegroApagado o sin energía.

1. Confirme que los cables de alimentación del appliance estén conectados de forma segura a una fuente dealimentación.

2. Si el appliance no se enciende automáticamente, presione el interruptor de alimentación trasero.

NOTE

El estado del interruptor informático de alimentación del appliance (activado o desactivado) se mantiene aldesconectar la energía. Esto puede requerir que presione el interruptor de encendido al volver a conectar elappliance a la energía.

3. Verifique lo siguiente a medida que el appliance se inicia:

• El LED de energía se pone de color ámbar.• Cerca del final del ciclo de arranque, el LED de energía alterna entre ámbar y verde, lo que indica que el estado

del appliance es No configurado.• Después de configurar el appliance, el LED de energía es verde.


34


appliance S550

Configuración del terminal serie o del software de emulación delterminalEste procedimiento se relaciona solamente con el appliance S550.

1. Confirme que el puerto serie RJ45 del panel posterior del appliance esté conectado a un terminal o una estación detrabajo serie con software de emulación de terminal.

2. Abra un programa de emulación de terminal como, por ejemplo, Microsoft HyperTerminal®, PuTTy, Tera Term oProComm™.

3. Configure el software de emulación de terminal para que use la siguiente configuración:

Velocidad en baudios 9600 bpsParidad NingunaControl de flujo NingunaBits de datos 8Bits de detención 1

Montaje en bastidor del appliance S550En este tema se describe cómo instalar el appliance en un bastidor de cuatro puestos.

PRECAUCIÓN Antes de montar el appliance en un bastidor:• Apague el appliance y desconecte todos los cables.• Verifique que el peso del sistema no supere el límite de peso límite del bastidor lleno.

Para obtener más información, consulte las instrucciones del fabricante incluidas con el bastidor.• Para garantizar la estabilidad del peso, cargue el bastidor de abajo hacia arriba.• Lea la sección “Advertencias de montaje en bastidor” de la Guía de seguridad y cumplimiento.• Tome medidas de seguridad y puesta a tierra adecuadas para evitar el riesgo de descarga eléctrica y evitar

lesiones corporales.• El appliance es muy pesado. Se recomienda la presencia de dos personas o ayuda mecánica para levantar el

appliance de la caja e instalarlo en el bastidor.• No coloque objetos en el appliance ni lo utilice como superficie de trabajo. Su hardware de montaje no admite

peso adicional.

El kit de montaje con riel deslizante incluido con el appliance de Symantec EDR permite montarlo en un bastidor de doso cuatro puestos. El kit permite montar sin necesidad de herramientas en bastidores de 4 puestos y le permite instalar oeliminar el appliance desde el frente del bastidor.

El kit de rieles deslizantes incluye las siguientes piezas:

35


appliance S550

• (2) rieles interiores del chasis• (2) rieles exteriores del bastidor• (1) kit para configuraciones de montaje de dos puestos

1. Desmonte los dos conjuntos de rieles laterales extendiendo completamente cada riel lateral y deslizando los rielesinteriores del chasis.

2. Conecte los dos rieles interiores al appliance. Alinee cada riel a los puestos de montaje en cada lado del chasis ydeslice los rieles hacia el frente del chasis hasta que los puestos de montaje se ajusten a su lugar.

36


appliance S550

3. Acople los rieles del bastidor al bastidor. Inserte el frente de cada riel en el bastidor al abrir y luego al soltar el pestillodelantero. Repita esta acción para agregar la parte posterior de los rieles, extendiendo o retirando los rieles segúnsea necesario para que se ajusten. Verifique que los rieles del bastidor estén instalados a la misma altura del bastidor.

37


appliance S550

4. Instale el appliance en el bastidor. Alinee los rieles interiores (conectados al appliance) con los rieles deslizantes enel bastidor y deslice el appliance suavemente en el bastidor hasta que haga clic y quede ajustado en su lugar. Elappliance se puede instalar desde la parte frontal o posterior del bastidor.

38


appliance S550

5. Opcionalmente, para extender el appliance desde el bastidor:a) Presione las palancas azules para desactivar el bloqueo de seguridad de los rieles.b) Mientras sigue presionando las palancas, tire suavemente o empuje el appliance de modo que se extienda hacia

el frente o la parte posterior del bastidor.

c) Quite la presión de las palancas de forma inmediata para que los bloqueos de seguridad del riel queden enposición completamente extendida. Procure no empujar ni tirar demasiado, especialmente mientras presiona laspalancas azules. Si lo hace, podría ocasionar que el appliance se caiga del bastidor.

d) Mientras sigue presionando las palancas, deslice cuidadosamente el dispositivo hacia afuera por la parte frontal oposterior del bastidor. Asegúrese de contar con la ayuda de dos personas o una ayuda mecánica para levantar elappliance del bastidor.

6. Vuelva a conectar los cables y verifique que el appliance esté funcionando.

Conexión de los cables


39


appliance S550

Ejecutar arranque

Ejecución de la secuencia de arranque para configurar el appliancePaso 4 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Deberá abrir la ventana de la consola para ejecutar la secuencia de arranque.

Durante la secuencia de arranque, se le pedirá que proporcione la información de la configuración del appliance. Suadministrador de Symantec EDR le proporciona esta información en la hoja de trabajo de instalación.Hoja de cálculo de instalación del appliance virtualCuando la secuencia de arranque se complete, el sistema se reiniciará.

Es posible volver a ejecutar una secuencia de arranque (por ejemplo, para cambiar ciertas direcciones IP) después de lainstalación inicial desde la CLI usando el comando bootstrap. No es posible volver a ejecutar la secuencia de arranquepara cambiar el rol de funcionamiento del appliance.comando bootstrap


Appliance virtual 1. En la ventana Integrated Remote Access Controller(Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de laconsola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.

2. Para abrir la ventana de la consola mediante vSphere.3. En el cliente de vSphere, haga clic en la ficha Console

(Consola).4. En el menú de la barra de herramientas, haga clic en el

icono Play (Reproducir).

Appliance físico 1. Presione el botón de encendido del appliance. (Eldispositivo tarda varios minutos en iniciarse).

2. Acceda a la consola a través del terminal de serie o eliDRAC.

2. En la ventana Integrated Remote Access Controller (Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de la consola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.

3. Para abrir la ventana de la consola mediante el cliente de vSphere, haga clic en la ficha Console (Consola) y, acontinuación, en el menú de la barra de herramientas, haga clic en el icono de reproducción.

4. En el mensaje de inicio de sesión en la ventana de la consola, inicie sesión con los siguientes datos:

Nombre de usuario = admin

40

https://knowledge.broadcom.com/external/article?legacyId=howto130413


appliance S550

Contraseña = symantec

La secuencia de arranque comienza de forma automática cuando se inicia sesión por primera vez antes de laconfiguración.

Una vez que se completa la configuración, puede ejecutar la secuencia de arranque de nuevo usando el comandobootstrap de la CLI.

5. Para cada indicación, escriba una respuesta y después presione Intro para especificar la información necesaria.

La tabla siguiente describe las indicaciones de la secuencia de arranque:

New password: (Nueva contraseña:) Escriba una nueva contraseña segura para la consola.Esta contraseña reemplaza la contraseña predeterminada,symantec.

Weak password (Contraseña no segura)Try another [y/n]? (¿Desea probar otra [s/n]?)

Una contraseña similar a una palabra en el diccionario,demasiado corta o que no es lo suficientemente compleja esmenos segura. Escriba y para eliminar la nueva contraseñay para que se le solicite que intente de nuevo. Escriba n paraguardar la nueva contraseña que ingresó previamente.

Re-enter new password (Volver a especificar la nuevacontraseña):

Para confirmar la nueva contraseña, escríbala de nuevo ypresione Intro. Si las dos contraseñas no coinciden, se lepedirá que vuelva a escribir la contraseña.

Seleccione uno de los siguientes roles del appliance:1 = Plataforma de administración ..., 2 = Analizador de red ..., 3 =Todo en uno ... []?

Escriba el número que corresponde al rol para esteappliance. La indicación describe cada uno de los rolesdisponibles.

Configure the management port. IPv4 address []: (Configure elpuerto de administración. Dirección IPv4 []:)

Escriba una dirección IP estática para el puerto deadministración. Para una plataforma de administración o unappliance todo en uno, se usa esta dirección IP para accedera EDR appliance console desde un navegador.

IPv4 Netmask []: (Máscara de red IPv4 []:) Escriba la máscara de red para la dirección IPv4 del puertode administración.

Gateway []: Escriba la dirección IP para el gateway (conmutador o router)que el appliance puede usar para comunicarse con el restode su red.

Name server (IPv4) []:(Servidor de nombres [IPv4]) Escriba la dirección IP de un servidor de nombres que elappliance pueda usar para resolver las direcciones IP.

Configure another nameserver? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])

Escriba y (s) para agregar un servidor de nombres adicionalo n para usar solamente un servidor de nombres. Si escribey (s), se le pedirá que escriba la dirección IP de un segundoservidor de nombres.

Rol del analizador de red solamente:IP address of the Management Platform (Dirección IP de laplataforma de administración):

Escriba la dirección IP del puerto de administración delappliance de la plataforma de administración que controlaeste analizador.

Roles de la plataforma de administración o del analizador de redsolamente:Communication Channel password: (Contraseña del canal decomunicaciones)

Escriba una contraseña segura para cifrar lascomunicaciones entre la plataforma de administración ytodos sus analizadores de red. Esta contraseña debe serla misma para la plataforma de administración y todos losanalizadores de red. Debe ser diferente de la contraseñade la consola de administración. Las letras, los números,los puntos, los caracteres de subrayado y los guionesestán permitidos, y la contraseña puede ser de hasta 50caracteres.

41


appliance S550

Roles de la plataforma de administración o del analizador de redsolamente: Re-enter Communication Channel password: (Volver aescribir contraseña del canal de comunicaciones:)

Para confirmar la contraseña del canal de comunicaciones,escríbala de nuevo y presione Intro. Si las doscontraseñas no coinciden, se le pedirá que vuelva a escribirla contraseña.

Configure IPv4 static routes? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])

Escriba y (s) para configurar una ruta estática IPv4 o npara omitir este paso de configuración. Las rutas estáticaspueden ser necesarias. Por ejemplo, use rutas estáticaspara conectar un analizador de red a su plataforma deadministración.

Destino (CIDR permitido):Gateway (Gateway):

Si elige configurar las rutas estáticas IPv4, se le pediráque escriba la dirección IP de destino y la dirección IP delgateway.

Add another route? [y/n] (¿Desea configurar otro servidor denombres? [s/n])

Después de configurar una ruta estática IPv4, escriba y(s) como respuesta a esta indicación para configurar otraruta estática IPv4. Escriba n para continuar a la siguienteindicación.Es posible configurar hasta tres rutas estáticas IPv4 enla secuencia de arranque. Es posible configurar las rutasestáticas adicionales en EDR appliance console.

What do you want to call this device? (¿Qué nombre desea dar aeste dispositivo?)

Escriba un nombre para identificar este sistema en EDRappliance console. Las letras, los números, los espacios, lospuntos y los guiones están permitidos, y el nombre puede serde hasta 50 caracteres.

Set NTP server [] Escriba la dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que el appliancetenga una hora precisa para indicar cuándo se realizandetecciones.

6. Cuando la configuración se completa, la consola muestra la configuración que usted configuró y después aparece elmensaje Save changes? [y/n] (¿Desea guardar los cambios? [s/n]). Escriba y (s) para guardar la configuración on para rechazarla y realizar cambios.

Si escribe n, la secuencia de arranque se reinicia desde el inicio. La mayoría de las indicaciones muestran el valoranterior que usted ingresó. Presione Intro para aceptar el valor anterior (si está presente) o escriba un nuevo valorpara corregir la entrada.

42


appliance S550

Ejecución del Asistente de configuración

Ejecución del Asistente de configuraciónPaso 1 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

El asistente de configuración de Symantec Endpoint Detection and Response le guía a través de los pasos obligatorios parala configuración de un dispositivo de plataforma de administración o todo en uno.

Durante la secuencia de arranque, asignó una dirección IP estática al puerto de administración del appliance. Necesita estadirección IP para acceder al Asistente de configuración y a EDR appliance console.

La cuenta de administración de la consola en la secuencia de arranque es independiente de la cuenta administrativa en elAsistente de configuración.

Este inicio de sesión del asistente de configuración no está disponible una vez completado el asistente.

NOTE

El appliance puede tardar varios minutos en iniciar y en iniciar los servicios necesarios antes de que puedaejecutar el asistente de configuración. Si la dirección IP del puerto de administración no responde, espere unosminutos y vuelva a intentarlo.

1. En un equipo accesible para el appliance, abra una ventana en un navegador compatible y escriba:https://<dirección IP del puerto de administración>.

Por ejemplo, si usted asignó la dirección IP estática 10.20.20.20 al appliance durante la secuencia de arranque,escriba https://10.20.20.20.

NOTE

Es necesario usar el protocolo HTTPS cuando se escribe la dirección del Asistente de configuración. Elprotocolo HTTPS es necesario.

2. Si el navegador muestra una advertencia de conexión o certificado no confiable, elija continuar y agregue unaexcepción, si es necesario.

La interfaz web de Symantec EDR incluye inicialmente un certificado autofirmado que se puede cambiar para usar uncertificado generado por el cliente después de la instalación inicial.

Configuración de acceso seguro a EDR appliance console

3. En la pantalla de inicio de sesión, escriba las siguientes credenciales y después haga clic en Sign In (Iniciar sesión) opresione Enter:

User name (Nombre de usuario): setup

Password (Contraseña): symantec

Esta cuenta se desactiva cuando se completa el Asistente de configuración.

43



appliance S550

4. En la pantalla Terms and Conditions (Términos y condiciones), lea los términos y las condiciones.

Es necesario aceptar los Terms and Conditions (Términos y condiciones) para continuar.

Las opciones de manejo de datos se habilitan de forma predeterminada. Es posible optar por anular la selección deestas opciones.

Habilitar las opciones de manejo de datos

5. Haga clic en Next (Siguiente).

6. Responda a las indicaciones en cada pantalla para completar la configuración obligatoria. Haga clic en Next(Siguiente) para ir a la pantalla siguiente o haga clic en Previous (Anterior) para volver a una pantalla que ustedcompletó.

La tabla siguiente describe las indicaciones adicionales en el Asistente de configuración y cómo responder a ellas.

Upload License (Cargarlicencia)

Haga clic en Browse (Examinar) para localizar el archivo de licencia y seleccione el archivo. Cuandose hace clic en Next (Siguiente), Symantec EDR carga el archivo.Debe cargar una licencia antes de que el dispositivo de Symantec EDR sea funcional. No es posibleusar Symantec EDR después de instalarlo sin una licencia. No existe un período de gracia.Cómo obtener un archivo de licencia de Symantec EDR e instalarlo

SMTP Settings(Configuración de SMTP)

Puede especificar la configuración de SMTP en el Asistente de configuración o puede seleccionarSkip adding SMTP server configuration (Omitir incorporación de la configuración del servidorSMTP) y especificar la configuración más tarde en EDR appliance console.Escriba el Servidor SMTP (nombre de dominio completo permitido) y el número de Puerto de suservidor de correo seguro.En el campo Appliance Email (Correo electrónico del appliance), escriba la dirección de correoelectrónico desde donde se envían las alertas, como una notificación de la caducidad de la licencia.Si su servidor de correo requiere un inicio de sesión seguro para recibir mensajes, seleccioneAuthorize (Autorizar). A continuación, escriba un nombre de usuario y una contraseña que SymantecEDR pueda usar para autenticarse con el servidor de correo.

Create an Administrativeaccount (Crear una cuentaadministrativa)

Especifique un nombre de inicio de sesión, una contraseña, un nombre para mostrar y una direcciónde correo electrónico de usuario para la cuenta de administrador inicial. Se necesita este inicio desesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.

7. Haga clic en Save (Guardar).

8. Haga clic en Exit (Salir) para terminar el asistente de configuración y mostrar la pantalla de inicio de sesión de EDRappliance console.

Comando status_checkPaso 7 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Descripción: Comprobar conectividad del servidor y estado del sistema. Este estado del sistema incluye valores comoestado del puerto de administración, estado de la interfaz, remisión de eventos e incidentes mediante el proxy de red yconectividad a los servidores de Symantec en la nube.

Sinopsis: status_check

Opción o argumento: No aplicable.

44

https://support.symantec.com/us/en/article.howto130413.html


appliance S550

Nota: De forma predeterminada, Cynic intenta contactar al servidor más cercano a la ubicación del equipo que envía amenos que se habilite la opción de usar el servidor de Cynic del Reino Unido en la página Settings (Configuración) >Global.

Servidor de Cynic predeterminado: https://api.us.dmas.symantec.com

Servidor de Cynic del Reino Unido: https://api.eu.dmas.symantec.com

45


appliance S550

Tareas posteriores a la instalación

Cómo completar las tareas de configuraciónPaso 2 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

Tareas para completar la instalación de Symantec Endpoint Detection and Response enumera las tareas que Symantecrecomienda realizar inmediatamente después de completar la instalación preliminar de Symantec Endpoint Detection andResponse.

Haga clic en los tokens de ayuda contextual en EDR appliance console para obtener más información sobre cómorealizar estas tareas.

Table 13: Tareas para completar la instalación de Symantec Endpoint Detection and Response

Tarea Descripción

Acceder a EDR appliance console. Realice las tareas y las configuraciones posteriores a la instalación en EDR appliance console.Cómo acceder a la EDR appliance console

Configure las siguientes opciones en la página Settings > Global (Configuración > Global).GlobalConfigurar la correlación deSynapse

Si SEP o Email Security.cloud protege la red, configure Synapse para correlacionar los datos deincidentes de estos orígenes con Symantec EDR.Acerca de la correlación de Synapse

Si pretende utilizar SymantecEndpoint Protection con SymantecEDR, configure la conexión delcontrolador de SEPM.

Se puede integrar Symantec Endpoint Detection and Response con Symantec EndpointProtection para:• Recopilar eventos de condena de SEPM y correlacionarlos con eventos de los otros puntos

de control• Configurar Symantec EDR para solicitudes de reputación de proxy desde sus endpoints• Enviar comandos a su instancia de SEPM (por ejemplo, para actualizar su lista de

denegación de SEPM).• Enviar comandos a sus endpoints (por ejemplo, para eliminar un archivo o poner en

cuarentena un endpoint)• Recuperar información de SEPM (por ejemplo, una lista de sus endpoints y su estado en

línea)• Recuperar información de sus endpoints (por ejemplo, un volcado de todos sus eventos)Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection

Configurar copias de seguridad. Configure una o más programaciones de copias de seguridad y ubicaciones.Acerca de hacer copias de seguridad y restauraciones de datos de Symantec EDR

Configure el acceso seguro a EDRappliance console.

Cargue un certificado para cifrar las sesiones de EDR appliance console.Configuración de acceso seguro a EDR appliance console

46



appliance S550

Tarea Descripción

Para la operación en Bloqueoinline, también puede quererpersonalizar la página de bloqueo.

Las páginas de bloqueo se usan solamente cuando usted trabaja en el modo de bloqueo inliney el análisis está activado. Cuando Symantec Endpoint Detection and Response bloquea elacceso a un sitio web o evita la descarga de un archivo potencialmente malicioso, aparece unapágina de bloqueo. A través de la página de bloqueo, se le informa al usuario que la página estábloqueada y a quién tiene que notificar para obtener más información.Personalización y prueba de las páginas de bloqueo

Configure las siguientes opciones en la página Settings > Appliance (Configuración > Appliance).AppliancesEstablezca la configuración de redinterna.

Cuando define sus redes internas, especifica qué equipos son parte de su red y qué equipospertenecen al mundo exterior. Con esta información, Symantec EDR puede distinguir entre losequipos protegidos y los equipos que están fuera de la red.Definición de las redes internas a Symantec EDR

Configure la configuracióndel proxy de red y el proxyempresarial, si estos proxies estánpresentes en el entorno.

Symantec EDR admite los siguientes tipos de configuración proxy:• Un proxy de red. Symantec EDR usa un proxy de red para acceder a la red externa.• Un proxy empresarial dentro de un entorno empresarial. Symantec EDR trata al tráfico que

se dirige a un proxy empresarial (que pueda tener una dirección IP dentro de una red interna)de manera diferente que al tráfico que se dirige con un proxy de red.

Si usa proxies, cada appliance de Symantec EDR, ya sea en rol analizador, independiente oCIU, debe tener las direcciones IP de los proxies existentes.Configurar información del proxy de redCrear una lista de proxy empresarialesEspecificar el tráfico que el proxy examina

Configurar conexiones del servidorSyslog.

Conectarse a uno o más servidores Syslog (un SIEM, por ejemplo) para capturar y para informardatos externamente.Configuración de las conexiones a los servidores syslog

Configuración de servicios deaislamiento de procesos.

De forma predeterminada, Symantec EDR envía archivos al sistema de desactivación desoftware malicioso basado en la nube de Cynic de Symantec para su análisis. Sin embargo,puede mantener el análisis de archivos local y enviar los archivos a un appliance de análisis desoftware malicioso de Symantec de propiedad del cliente en las instalaciones para desactivacióny análisis.Configuración de Symantec EDR para usar aislamiento de procesos en la nube o aislamiento deprocesos en las instalaciones

Habilitar el análisis Después de configurar las opciones del appliance, se recomienda habilitar el análisis.Configurar la interfaz de red y habilitar el análisis

Configure las siguientes opciones en la página Settings > Users (Configuración > Usuarios).Administración de usuariosAgregar nuevas cuentas de EDRappliance console

Agregue cuentas adicionales de Admin (Administrador), Controller (Controlador) y User (Usuario)para acceder a EDR appliance console.Sugerencia: Como práctica recomendada, debe configurar al menos una cuenta de usuariode administrador adicional inmediatamente después de la instalación en caso de que hayaun problema de acceso a la EDR appliance console con las credenciales de cuenta deadministrador iniciales.Cómo agregar cuentas de usuario localLista de comprobación previa a la integración con Active Directory

Configure las siguientes opciones en la página Reports (Informes).Configurar informes. Configure los informes que se pueden generar en una programación diaria, semanal o mensual.

Acerca de informes

Prueba de Symantec EDR para la supervisión y el bloqueo correctosPaso 3 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

47



appliance S550

Symantec tiene un sitio web que puede usar para probar que Symantec Endpoint Detection and Response supervisadatos de red.

1. Inicie un navegador web en un equipo de la LAN que esté conectado a Symantec EDR.

2. En Internet, vaya a la siguiente URL:


El sitio web de Broadcom debe visualizarse normalmente sin ningún mensaje.

3. En Internet, vaya a la siguiente URL:


4. Haga clic en cada uno de los vínculos en la página de prueba.

Es necesario ver un incidente correspondiente en la base de datos, si usted está en el modo de punto de conexiónde red o en modo de supervisión inline. Las detecciones de aislamiento de procesos basado en la nube puedenretrasarse durante la ejecución virtual.

Si está en modo de bloqueo inline, se interrumpen las descargas del archivo (excepto los nuevos envíos de archivosal espacio aislado basado en la nube). Los intentos subsiguientes de descargar el mismo archivo se incluyen en unalista de denegación.

Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red

Prueba del modo de omisión del applianceCuando el appliance de Symantec Endpoint Detection and Response está configurado en modo inline, el applianceentra en modo de omisión si no puede funcionar o se desactiva. En modo de omisión, el tráfico de Internet se redirige através de los puertos LAN y WAN, pero no se realizan supervisiones ni bloqueos. Para que el modo de omisión funcionecorrectamente, asegúrese de usar el tipo adecuado de cables Ethernet para la conexión a la LAN. Los indicadores LEDen la parte posterior de los appliances indican el modo de omisión si el appliance no está apagado.

NOTE

En el modo de omisión, los cables Ethernet en el puerto LAN y WAN se interconectan. Debe garantizar quela longitud total de los cables interconectados no supere la longitud máxima del cable Ethernet. La longituddel cable Ethernet, por estándar de cableado ANSI/TIA/EIA, es 100 m para Cat5e y Cat6. Para obtener másinformación sobre la longitud del cable Ethernet, consulte los estándares de cableado de ANSI/TIA/EIA.

Para probar el modo de omisión del appliance físico

1. En el panel de navegación izquierdo, haga clic en Settings (Configuración) > Appliances y, a continuación, hagaclic en un appliance de la lista.

Aparece la página de detalles del appliance.

2. En el panel Network Interface Settings (Configuración de interfaz de red), haga clic en el conmutador en el campoScanning (Análisis) para configurar el análisis en la posición Off (Desactivado). Haga clic en OK (Aceptar) si uncuadro de diálogo de advertencia que aparece le pregunta si está seguro de que desea deshabilitar el análisis.

Con el análisis deshabilitado, el appliance físico debería operar en el modo de omisión.

48




appliance S550

3. Intente acceder a Internet desde un equipo en la red LAN que el dispositivo supervisa o protege.

Debe poder acceder a Internet. Los indicadores LED de omisión en la parte posterior del appliance de Symantec EDRdeben estar encendidos, pero no deben centellear.

4. En EDR appliance console, haga clic Settings (Configuración) > Appliances y seleccione el dispositivo de la lista.A continuación, haga clic en el conmutador en el campo Scanning (Análisis) para configurar el análisis en la posiciónOn (Activado). Haga clic en OK (Aceptar) si un cuadro de diálogo de advertencia aparece preguntando si deseacontinuar.

5. Pruebe Symantec EDR para asegurarse de que funcione correctamente.

Prueba de Symantec EDR para la supervisión y el bloqueo correctos

Cómo acceder a EDR appliance consoleAcceda a la consola del appliance de EDR para configurar y administrar Symantec EDR, así como para realizar labúsqueda y recuperación de amenazas.

Acceda a EDR appliance console desde un navegador web en cualquier equipo cliente que pueda conectarse al puertode administración de la plataforma de administración o del appliance todo en uno.

NOTE

Para ver las páginas del appliance de Symantec EDR o acceder a la consola de Symantec EDR medianteel sitio web en la nube, debe estar conectado mediante la red LAN o VPN de su empresa o proporcionarle aSymantec EDR una dirección IP pública que sea accesible desde Internet. De lo contrario, aparece el siguientemensaje de error: No se puede mostrar esta página.

Si está utilizando un certificado autofirmado para su instalación de EDR, deberá aceptar el certificado en sunavegador.

1. En el equipo que puede acceder a la red conectada al puerto de administración, abra un navegador web.

2. En el navegador web, escriba lo siguiente:

https://<dirección IP>

Donde<dirección IP>es la dirección que se ha especificado para el appliance durante el proceso de secuencia dearranque.

Por ejemplo, si la dirección IP que usted especificó para el appliance es 192.168.42.24, vaya a la siguiente URL:

https://192.168.42.24

NOTE

Se debe utilizar el protocolo HTTPS para acceder a la EDR appliance console.

Para ciertos navegadores web, se debe configurar una excepción de seguridad del certificado para acceder a la EDRappliance console.En general, este paso es necesario solamente al iniciar sesión por primera vez en cada equipo.

3. En la página Log On (Inicio de sesión), en el campo User Name (Nombre de usuario), escriba el nombre de usuarioque le haya asignado el administrador.

4. En el campo Password (Contraseña), escriba la contraseña.Se le bloquea después de cinco intentos incorrectos.

Configuración de acceso seguro a EDR appliance console

Configuración del acceso de inicio de sesión único (SSO) a la EDR appliance console

Requisitos del navegador para EDR appliance console

49


appliance S550

Appendix Materials

50


appliance S550

Puertos, conectores e indicadores en el appliance

Acerca de los puertos, los conectores y los indicadores del appliancePuertos, conectores e indicadores en los appliances de Symantec EDR describe los puertos, los conectores y losindicadores que se encuentran en la parte posterior de los appliances de Symantec EDR.

NOTE

Las conexiones varían entre modelos, versiones y roles.

Conexión de los cables en el appliance S550


Table 14: Puertos, conectores e indicadores en appliances de Symantec EDR

Puerto, conector o indicador Descripción

Unidad de distribución de energía(PDU) (recomendada)

Symantec recomienda usar una PDU para mejorar la calidad de la energía, el equilibrio decarga y el control y la supervisión remota.

Puerto USB Es posible usar este puerto para crear una nueva imagen del host con una memoria USB oun DVD que se conecte mediante un enchufe USB.

Puerto serie Conecte el puerto serie a otro equipo para acceder a la interfaz basada en caracteres de laConsola de serie.

Puerto Ethernet LAN/Monitor2 En el modo de punto de conexión de red, puede conectar el puerto Monitor2 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN a un conmutador conectado a su red interna.

Puerto Ethernet WAN1/Monitor1 En el modo de punto de conexión de red, conecte el puerto Supervisión1 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto WAN1 a un conmutador hacia su conexión a Internet osu firewall.

Puerto Ethernet LAN1/Monitor2 En el modo de punto de conexión de red, puede conectar el puerto Monitor2 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN1 a un conmutador conectado a su red interna.

Puerto Ethernet WAN2/Monitor3 En el modo de punto de conexión de red, puede conectar el puerto Monitor3 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto WAN2 a un conmutador hacia su conexión a Internet osu firewall.

Puerto Ethernet LAN2/Monitor4 En el modo de punto de conexión de red, puede conectar el puerto Monitor4 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN2 a un conmutador conectado a su red interna.

Puerto Ethernet de administración(Mgmt)

Conecte el puerto de administración a un conmutador conectado a su red interna.El puerto de administración debe tener acceso a lo siguiente:• Servidor de nombres de dominio (DNS)• Servicios de Internet necesarios

Energía Este conector suministra electricidad al appliance. Es posible que el appliance cuente con unconector eléctrico adicional redundante.

51


appliance S550

Puerto, conector o indicador Descripción

Omitir indicadores LED de la NIC Hay tres pares de indicadores LED en la tarjeta NIC de omisión.El par Vínculo/Actividad es verde sólido y emite una luz intermitente verde en la actividadcuando el modo de omisión está apagado. Se apaga cuando el modo de omisión estáencendido.El par de omisión es verde sólido cuando el appliance se está ejecutando en el modo deomisión y se apaga cuando el modo de omisión está apagado.El par DISC siempre está apagado (no se usa).

52


appliance S550

Especificaciones de hardware

Especificaciones del appliance S550 de Symantec

Table 15: Especificaciones de hardware del appliance de S550

Especificación SKU6

CPU SkylakeXeon ® Gold 6140;Memoria caché de 24.75M(CD8067303405200)2 x 18 núcleos, 140W(2,30 GHz)

Unidad de disco duro interna SAS de 3.5" 4 unidades de disco duro SAS de 12 TBUnidad de estado sólido SAS de 800 GB interno de 2.5" NingunaUnidad de estado sólido NVMe de 800 GB interno de 2.5" NingunaMemoria (DDR4) LRDIMM(Reducción de carga)

256 GB (2666 MHz)

Componentes comunes en la placa madrePCH (Lewisburg-L) Intel ® C628*Interfaz SSL NingunaPuertos Ethernet que no pueden omitirse (2x) Intel X550Puerto Ethernet que puede omitirse (4x) X557 PHYControlador SAS Tarjeta SAS MezzanineBMC (IPMC) AST2500Dispositivo de arranque (SSD) 2 SATA III

M.2 2242 SSD de 64 GBDispositivo de almacenamiento de claves/SPI FLASH 1x ME, 64 MB; de imagen fija

2x 32M; permite volver a crear una imagenFuente de alimentación de energía 2 x PSU

(CA BEL POWER de 1600W)Ventiladores del sistema; 40W 6Puerto serie, puerto serie posterior, frontal (no funcional) 1x RJ45, RS232Puerto USB 3.0 (externo) 1Cable de alimentación de CA/Enchufe de la fuente dealimentación

C19/C20

Tarjeta portadora PCIe 1 de media altura única (O1A) 1 x M1A1 x M2A1 x M3A

Tarjeta portadora PCIe 2 de altura completa únicax1 O2Bx1 O3AA

1 x SuperCap

53


appliance S550

Especificación SKU6

Tarjeta portadora PCIe 3 de media altura dualO2BO3A

Ninguna

SuperCap para tarjeta Mezz RMSP3AD160FTarjeta Mezz de IOC de 16 puertos NingunaTarjeta Mezz de ROC de 16 puertos 1Controlador RAID Intel(R)IntegratedRAIDModuleRMSP3AD160LCM NingunaTarjetas de opción predeterminadas (solo una de las siguientes se entrega como unidad de campo reemplazable)PE310G4BPI71-SR 1PE310G4BPI71-LR 1

54


appliance S550

Volver a instalar Symantec EDR en S550

Volver a instalar Symantec EDR en el appliance 550 desde un dispositivo USB oun DVDAntes de comenzar, asegúrese de que el host de Symantec esté en bastidor y el puerto serie esté conectado a unterminal serie. La conexión en serie es de 9600 baudios y 8 bits sin paridad.

Para realizar una instalación de DVD | Para realizar una instalación con un dispositivo USB

Para realizar una instalación de DVD

1. Obtenga una imagen ISO de Symantec.

2. Grabe la imagen en un DVD.

3. Coloque el DVD en la unidad de DVD.

4. Conecte la unidad de DVD en el puerto USB.

5. Inicie el dispositivo.

Para iniciar el dispositivo

6. Siga el asistente para la instalación.

Para seguir el instalador

Para realizar una instalación con un dispositivo USB7. Obtenga una imagen ISO de Symantec.

8. Cree un dispositivo USB de arranque.

• Para Linux:Haga clic en el siguiente vínculo para obtener más información sobre cómo crear un dispositivo USB de arranqueen Linux:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/installation_guide/sect-making-usb-media

• Para Mac:A. Enumere los dispositivos montados.Por ejemplo:List the mounted devices:

Last login: Thu Jul 5 09:13:15 on ttys001

M021204TKG3QD:Downloads john_doe$ diskutil list

/dev/disk0 (internal):

#: TYPE NAME SIZE IDENTIFIER

0: GUID_partition_scheme 500.3 GB disk0

1: EFI EFI 314.6 MB disk0s1

2: Apple_CoreStorage SymMacSOE 499.3 GB disk0s2

3: Apple_Boot Recovery HD 650.0 MB disk0s3

/dev/disk1 (internal, virtual):


55

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/installation_guide/sect-making-usb-media

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/installation_guide/sect-making-usb-media


appliance S550

0: Apple_HFS SymMacSOE +499.0 GB disk1

Logical Volume on disk0s2

DDDDFDA9-6016-4FD7-8815-B4C1D7190788

Unlocked Encrypted

/dev/disk2 (disk image):


0: Apple_partition_scheme +24.2 MB disk2

1: Apple_partition_map 32.3 KB disk2s1

2: Apple_HFS Flash Player 24.2 MB disk2s2

/dev/disk3 (external, physical):


0: GUID_partition_scheme *2.0 TB disk3


2: Apple_HFS BackupMcBackface 2.0 TB disk3s2



0: CDROM *15.9 GB disk4

En este ejemplo, el dispositivo USB es /dev/disk4.

B. Desmonte el dispositivo.Por ejemplo:M021204TKG3QD:Downloads john_doe$ diskutil unmountDisk /dev/disk4

Unmount of all volumes on disk4 was successful

C. Escriba la imagen ISO en el dispositivo USB.En este ejemplo, el dispositivo USB está en /dev/disk4.M021204TKG3QD:Downloads john_doe$ sudo dd if=./ATP-4.0.0-3.iso of

=/dev/disk4 bs=1m

Password:

2390+1 records in

2390+1 records out

2506612736 bytes transferred in 776.888341 secs (3226477 bytes/sec)

El proceso de escritura vuelve a montar el volumen.

D. Desmonte el volumen de modo que pueda eliminar el dispositivo.Por ejemplo:M021204TKG3QD:Downloads john_doe$ diskutil list

/dev/disk0 (internal):

#: TYPE NAME SIZE IDENTIFIED

0: GUID_partition_scheme 500.3 GB disk0


56


appliance S550

2: Apple_CoreStorage SymMacSOE 499.3 GB disk0s2

3: Apple_Boot Recovery HD 650.0 MB disk0s3

/dev/disk1 (internal, virtual):


0: Apple_HFS SymMacSOE +499.0 GB disk1

Logical Volume on disk0s2

DDDDFDA9-6016-4FD7-8815-B4C1D7190788

Unlocked Encrypted

/dev/disk2 (disk image):


0: Apple_partition_scheme +24.2 MB disk2

1: Apple_partition_map 32.3 KB disk2s1

2: Apple_HFS Flash Player 24.2 MB disk2s2



0: GUID_partition_scheme *2.0 TB disk3


2: Apple_HFS BackupMcBackface 2.0 TB disk3s2



0: CDROM *15.9 GB disk4

M021204TKG3QD:Downloads john_doe$ diskutil unmountDisk /dev/disk4

Unmount of all volumes on disk4 was successful

9. Conecte dispositivo USB en el puerto USB.

10. Inicie el dispositivo.


11. Siga el instalador.



Este procedimiento es el mismo para el DVD o el dispositivo USB.

57


appliance S550

12. Presione CTRL-D al principio del BIOS. Esta tarea coloca el dispositivo USB primero en el orden de arranque y eldisco duro en segundo lugar.

13. Para cambiar del modo de cliente, escriba la contraseña manuok.

14. En el cuadro de diálogo de confirmación, escriba Y para indicar Sí.

El host se inicia desde el dispositivo y aparece el menú de GRUB.


Este procedimiento es el mismo para el DVD o el dispositivo USB.15. Seleccione la opción Probar este soporte e instalar ATP.

La instalación ocurre automáticamente y puede tardar hasta 30 minutos. El host se reinicia después de que lainstalación se completa. No apague el host hasta que aparezca la indicación de inicio de sesión.

16. Una vez completado el reinicio, inicie sesión como administrador y realice la secuencia de arranque.

58

Response 4.5 para el appliance S550 Guía de instalación de ...

Documents

Transcript of Response 4.5 para el appliance S550 Guía de instalación de ...