Response 4.5 para el appliance S550 Guía de instalación de ...
Transcript of Response 4.5 para el appliance S550 Guía de instalación de ...
Guía de instalación de Symantec™ Endpoint Detection andResponse 4.5 para el appliance S550
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Table of Contents
Declaración de copyright.................................................................................................................... 4Requisitos del sistema........................................................................................................................ 5
Compatibilidad de la versión de Symantec EDR con appliances.............................................................................. 5Requisitos del navegador para EDR appliance console............................................................................................. 5Requisitos del sistema para la integración de Symantec Endpoint Protection........................................................ 5
Planificación para la instalación........................................................................................................ 7Lista de comprobación previa a la instalación para los appliances físicos..............................................................7Hoja de trabajo de la instalación del appliance físico.................................................................................................8Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red.............................. 12Acerca de cómo seleccionar un analizador de red....................................................................................................16Acerca de las configuraciones de red y las conexiones de puertos....................................................................... 16Dónde colocar el appliance en su red para obtener mejores resultados................................................................18Puertos necesarios del firewall.................................................................................................................................... 22Recomendaciones de proxy......................................................................................................................................... 27Matriz de compatibilidad de plataformas de Symantec EDR.................................................................................... 27Cómo obtener un archivo de licencia de Symantec EDR e instalarlo..................................................................... 29
Instalación del appliance físico........................................................................................................31Flujo de trabajo de instalación del dispositivo S550.................................................................................................31Conexión de los cables en el appliance S550............................................................................................................32Encendido del appliance S550 y verificación de los LED.........................................................................................34Configuración del terminal serie o del software de emulación del terminal........................................................... 35Montaje en bastidor del appliance S550..................................................................................................................... 35
Ejecutar arranque...............................................................................................................................40Ejecución de la secuencia de arranque para configurar el appliance..................................................................... 40
Ejecución del Asistente de configuración...................................................................................... 43Ejecución del Asistente de configuración.................................................................................................................. 43Comando status_check................................................................................................................................................. 44
Tareas posteriores a la instalación..................................................................................................46Cómo completar las tareas de configuración.............................................................................................................46
Prueba de Symantec EDR para la supervisión y el bloqueo correctos................................................................... 47Prueba del modo de omisión del appliance.............................................................................................................48
Cómo acceder a EDR appliance console....................................................................................................................49Appendix Materials............................................................................................................................ 50Appendix A: Puertos, conectores e indicadores en el appliance.................................................51
Acerca de los puertos, los conectores y los indicadores del appliance...................................................................51
2
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Appendix B: Especificaciones de hardware....................................................................................53Especificaciones del appliance S550 de Symantec................................................................................................. 53
Appendix C: Volver a instalar Symantec EDR en S550................................................................. 55Volver a instalar Symantec EDR en el appliance 550 desde un dispositivo USB o un DVD................................... 55
3
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Declaración de copyright
Declaración de copyright
Broadcom, el logotipo de Pulse, Connecting everything y Symantec se encuentran entre las marcas registradas deBroadcom.
Copyright © 2020 Broadcom. Todos los derechos reservados.
El término \"Broadcom\" se refiere a Broadcom Inc. y/o sus subsidiarias.Para obtener más información, visitewww.broadcom.com.
Broadcom se reserva el derecho de realizar cambios sin previo aviso a los productos o datos en este documento paramejorar la confiabilidad, el funcionamiento o el diseño. Se cree que la información proporcionada por Broadcom esprecisa y confiable. Sin embargo, Broadcom no asume ninguna responsabilidad derivada de la aplicación o el uso deesta información, ni de la aplicación o el uso de ningún producto o circuito aquí descrito, ni transmite ninguna licenciabajo sus derechos de patente ni los derechos de otros.
4
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Requisitos del sistema
Compatibilidad de la versión de Symantec EDR con appliancesEl appliance S550 de Symantec admite Symantec EDR 4.1 y versiones posteriores.
Los siguientes modelos de appliances admiten Advanced Threat Protection 3.0 y versiones posteriores, así comoSymantec EDR4.0 y posterior:
• Dell 8880• Dell 8840
Los appliances 8880 y 8840 de Symantec EDR incluyen un controlador de acceso remoto integrado de Dell (iDRAC).La consola del iDRAC requiere la última versión de Java Runtime Environment (JRE) instalada en su cliente deadministración.
Información de garantía para appliances de Dell
Requisitos del navegador para EDR appliance consoleLa sección Requisitos del navegador para la EDR appliance console muestra los navegadores web compatibles conla EDR appliance console. JavaScript debe estar habilitado en el navegador y las cookies deben estar habilitadas. Laresolución mínima para visualizar EDR appliance console es 1280 x 1024.
Table 1: Requisitos del navegador para EDR appliance console
Navegador Versión
Microsoft Internet Explorer 11 o posterior
Note: No se admiten los filtros rápidos.
Mozilla Firefox 81.0 o posterior (64 bits)Google Chrome 85.0.4183.121 o posterior (64 bits)Microsoft Edge Versión 85.0.564.63 o posterior (64 bits)Safari No se admiteOpera No se admite
Requisitos del sistema para la integración de Symantec EndpointProtectionRequisitos de la versión de Symantec Endpoint Protection
Symantec Endpoint Detection and Response se puede integrar con Symantec™ Endpoint Protection para mejorar lainformación de eventos y obtener la función Endpoint Communications Channel (ECC). Symantec EDR tiene ciertosrequisitos de la versión basados en los diversos componentes de SEP.
La versión mínima de SEPM es 12.1 RU6 o posterior. Symantec EDR se puede conectar a varios sitios de SEP con unaconexión por sitio de SEP, hasta un total de diez conexiones a hosts de SEPM.
Symantec EDR puede administrar los endpoints del cliente que ejecutan SEP versión 12.1 RU 6 MP3 o posterior con lasfunciones completas de ECC. Sin embargo, los clientes deben ejecutar SEP 14 o posterior para aprovechar las funcionesde ECC 2.0.
5
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Los endpoints del cliente que ejecutan versiones anteriores a SEP 12.1 RU5 no se admiten. Cierta funcionalidad estálimitada para los clientes que ejecutan versiones de SEP entre 12.1 RU5 y 12.1 RU6 MP3. En la documentación deSymantec EDR se describe cualquier límite en cuanto a las funciones según la versión del cliente SEP.
Versiones del cliente de SEP y funciones admitidas de Symantec EDR
Requisitos de la base de datos del recopilador de registros de Synapse
SEPM 14.3 RU1 o posterior utiliza Microsoft SQL Express como base de datos para la recopilación deregistros.Symantec EDR puede acceder a la base de datos sin ningún requisito especial del sistema de host.
SEPM 14.3 MP1 o versiones anteriores son compatibles con la base de datos de MS SQL Server o con una base dedatos integrada.Cuando SEPM utiliza una base de datos integrada, Symantec EDR utiliza un recopilador de registrosen el host de SEPM. Este recopilador de registros requiere que el host de SEPM se esté ejecutando en uno de lossiguientes sistemas operativos:
• Windows 7 (de 64 bits solamente)• Windows 8 (de 64 bits solamente)• Windows Server 2008• Windows Server 2012• Windows Server 2012 R2 o posterior (recomendado)
Consulte la documentación deSymantec Endpoint Protection para conocer los requisitos del sistema de SEPM.
Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection
Instalación del recopilador de registros de Synapse
6
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Planificación para la instalación
Lista de comprobación previa a la instalación para los appliancesfísicosLa Lista de comprobación previa a la instalación enumera las acciones que se deben completar y la información que sedebe tener lista antes de instalar un appliance físico.
Table 2: Lista de comprobación previa a la instalación
Acción/Elemento Descripción
Recopilar herramientas. Tenga a mano los siguientes elementos:• Destornillador #2 Phillips• Llave de 8 mm (o una llave inglesa)• Hardware de montaje específico del bastidor del
equipo (consulte la guía del bastidor del equipopara obtener más información)
• Rotulador (opcional)• Elevador mecánico (opcional)• Kit de rieles deslizantes
Asegúrese de que su entorno tenga los recursos necesarios. Compatibilidad de la versión de Symantec EDR conappliancesMatriz de compatibilidad de plataformas deSymantec EDR
Para la instalación inicial, tenga un equipo disponible con un puerto Ethernet ycon acceso del navegador web a:• la red del puerto de administración,• y el iDRAC (appliance físico solamente).
El equipo que usa para configurar el appliancedebe tener acceso a la red de administración enla cual se encuentra el dispositivo de SymantecEDR. Por ejemplo, mediante la conexión a unconmutador o un router. Si configura un appliancefísico, el equipo además debe tener acceso de redal iDRAC.
Tenga un terminal de serie local para el appliance. Para realizar la secuencia de arranque, necesitaráun terminal de serie (equipo): puede ser un servidorinterno independiente especializado o un servidorde Windows que ejecute PUTTY. Resultaríaconveniente que proporcione acceso remotomediante RDP o HTTP. Este equipo también debeser local para el appliance.Este paso es necesario solamente si estáinstalando un appliance S550.Configuración del terminal serie o el software deemulación del terminal
7
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Acción/Elemento Descripción
Tenga cables Ethernet (hasta cuatro cables normales y dos cables cruzados)disponibles.
La cantidad y los tipos de cables que se necesitandependen de la configuración de red y la cantidadde puertos LAN y WAN del appliance. Por ejemplo,para permitir que las interfaces de Ethernetnegocien 1000 Mbps, se requieren cables Cat5e oCat6.Es posible que sean necesarios cables cruzadospara una implementación inline.No necesita cables cruzados si uno o ambosdispositivos (conmutador, firewall) conectadosal puerto WAN y LAN tienen una MDI/MDI-Xautomática.Dónde colocar el appliance en su red para obtenermejores resultados
Abra los puertos requeridos en el firewall y otros dispositivos de red. Asegúrese de que los puertos necesarios esténabiertos en su firewall y otros dispositivos de redpara permitir el tráfico al dispositivo de SymantecEDR o desde él. Por ejemplo, HTTP 80 y HTTPS443.Puertos necesarios del firewall
Decida el rol y el modo de funcionamiento. Los roles de configuración de funcionamiento sonlos siguientes:• Todo en uno• Plataforma de administración• Analizador de redAcerca de los roles de funcionamiento, los modosde funcionamiento y conexiones de redAcerca de las configuraciones de red y lasconexiones de puertos
Obtenga el archivo de licencia y asegúrese de que puede acceder al archivo delicencia.
Asegúrese de que se pueda navegar al archivode licencia de Symantec y seleccionarlo desde elequipo que se usa para ejecutar el Asistente deconfiguración.Cómo obtener un archivo de licencia de SymantecEDR e instalarlo
Complete la hoja de cálculo de instalación. Tome todas las decisiones que necesitará parala instalación antes de comenzar. Tener estainformación a mano garantiza que el procesode instalación se ejecute de manera rápida y sinproblemas.Hoja de trabajo de instalación del appliance físico
Hoja de trabajo de la instalación del appliance físicoSymantec EDR le recomienda que complete la hoja de instalación en su totalidad antes de comenzar la instalación.Proporcione esta lista de comprobación a los administradores que realizarán las tareas de instalación. También debeconservar una copia para sus registros con fines de archivado y de copia de seguridad.
8
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Table 3: Configuración del iDRAC (solo instalación del appliance de Dell)
Configuración Descripción Valor que debe introducir
Elija la dirección IP, lamáscara de subred, ladirección de gateway y lacontraseña para el iDRAC.
El controlador de acceso remoto integradode Dell (iDRAC) en el appliance físicoproporciona acceso de la consola alappliance. Aunque esté integrado, el iDRACes un dispositivo aparte que requiere supropia dirección de red para funcionar. Lacontraseña es necesaria para acceder a lainterfaz basada en navegador del iDRAC.
Dirección IP:________.________.________.________Máscara de subred:_________________________________Dirección del gateway:________.________.________.________Contraseña:Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.
Configuración del iDRAC (appliance 8880 solamente)
Configuración del iDRAC usando un monitor, un teclado y un mouse opcional
Table 4: Configuración del terminal serie o del software de emulación del terminal (solo appliance S550)
Configuración Descripción Valor que debe introducir
Configure el software deemulación del terminal.
Debe configurar el programa del terminal parapoder ejecutar la secuencia de arranque.
• Velocidad en baudios = 9600 bps• Paridad = Ninguna• Control de flujo = Ninguno• Bits de datos = 8• Bits de detención = 1
Configuración del terminal serie o el software de emulación del terminal
Table 5: Configuración de la secuencia de arranque (todos los dispositivos físicos)
Configuración Descripción Valor que debe introducir
New password: (Nuevacontraseña:)
Una nueva contraseña segura para laconsola. Esta contraseña reemplaza lacontraseña predeterminada, symantec.
Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.
Weak password(Contraseña no segura)Try another [y/n]?(¿Desea probar otra [s/n]?)
Note: Una contraseña similar a una palabraen el diccionario, demasiado corta o que noes lo suficientemente compleja es menossegura. Symantec EDR le pedirá queconfirme el uso de una contraseña pocosegura.
________ sí________ no
Re-enter new password(Volver a especificar lanueva contraseña):
Confirme la nueva contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.
9
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Configuración Descripción Valor que debe introducir
Seleccione uno de lossiguientes roles delappliance:1 = Plataforma deadministración ..., 2 =Analizador de red ..., 3 =Todo en uno ... []?
Especifique el rol del appliance.Acerca de los roles de funcionamiento, losmodos de funcionamiento y conexiones dered
_______ 1: Plataforma de administración_______ 2: Analizador de red_______ 3: Todo en uno
Configure themanagement port. IPv4address []: (Configure elpuerto de administración.Dirección IPv4 []:)
La dirección IP estática para el puerto deadministración. Para una plataforma deadministración o un appliance todo en uno,se usa esta dirección IP para acceder a EDRappliance console desde un navegador.
________.________.________.________
IPv4 Netmask []: (Máscarade red IPv4 []:)
La máscara de red para la dirección IPv4 delpuerto de administración. ________.________.________.________
Gateway []: La dirección IP para el gateway (conmutadoro router) que el appliance puede usar paracomunicarse con el resto de su red.
________.________.________.________
Name server (IPv4) []:(Servidor de nombres[IPv4])
La dirección IP de un servidor de nombresque el appliance pueda usar para resolver lasdirecciones IP.
________.________.________.________
Configure anothernameserver? [y/n](¿Desea configurar otroservidor de nombres? [s/n])
“Sí” agrega un servidor de nombres adicional;“No” usa solamente un servidor de nombres.Si la respuesta es “sí”, proporcione ladirección IP de un segundo servidor denombres.
________ sí________.________.________.________________ no
Rol del analizador de redsolamente:IP address of theManagement Platform(Dirección IP dela plataforma deadministración):
La dirección IP del puerto de administracióndel appliance de la plataforma deadministración que controla este analizador.
________.________.________.________
Roles de la plataformade administración odel analizador de redsolamente:CommunicationChannel password:(Contraseña del canal decomunicaciones)
Una contraseña segura para cifrar lascomunicaciones entre la plataforma deadministración y todos sus analizadores dered. Esta contraseña debe ser la misma parala plataforma de administración y todos losanalizadores de red. Debe ser diferente de lacontraseña de la consola de administración.Las letras, los números, los puntos, loscaracteres de subrayado y los guiones estánpermitidos, y la contraseña puede ser dehasta 50 caracteres.
Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.
Roles de la plataformade administración odel analizador de redsolamente: Re-enterCommunication Channelpassword: (Volver aescribir contraseña delcanal de comunicaciones:)
Confirme la contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.
10
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Configuración Descripción Valor que debe introducir
Configure IPv4 staticroutes? [y/n] (¿Deseaconfigurar otro servidorde nombres? [s/n])
“Sí” configura una ruta estática IPv4; “No”omite este paso de configuración.Las rutas estáticas pueden ser necesarias.Por ejemplo, use rutas estáticas paraconectar un analizador de red a su plataformade administración.
________ sí________ no
Destino (CIDR permitido):Gateway (Gateway):
Si elige configurar las rutas estáticas IPv4,escriba la dirección IP de destino y delgateway.
________.________.________.________
Add another route? [y/n](¿Desea configurar otroservidor de nombres? [s/n])
“Sí” para configurar una ruta estática adicionalIPv4. “No” para ir a la siguiente indicación.Es posible configurar hasta tres rutasestáticas IPv4 en la secuencia de arranque.Es posible configurar las rutas estáticasadicionales en EDR appliance console.
________ sí (se admiten hasta tres)________.________.________.________________.________.________.________________.________.________.________________ no
What do you want tocall this device? (¿Quénombre desea dar a estedispositivo?)
El nombre para identificar este sistemaen EDR appliance console. Las letras, losnúmeros, los espacios, los puntos y losguiones están permitidos, y el nombre puedeser de hasta 50 caracteres.
__________________________________
Set NTP server [] La dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que elappliance tenga una hora precisa para indicarcuándo se realizan detecciones.
________.________.________.________
Ejecución de la secuencia de arranque para configurar el appliance
Table 6: Asistente de configuración
Configuración Descripción Valor que debe introducir
Acceder a EDR applianceconsole.
Esta es la dirección IP estática para el puertode administración que se especificó durantela secuencia de arranque.
________.________.________.________
Upload License (Cargarlicencia)
Debe cargar una licencia antes de que eldispositivo de Symantec EDR sea funcional.No es posible usar Symantec EDR despuésde instalarlo sin una licencia. No existe unperíodo de gracia.
Ubicación de la licencia de Symantec EDR:______________________________________
SMTP Settings(Configuración de SMTP)
Symantec le recomienda especialmente que especifique la configuración de SMTP en el asistente deconfiguración. Si lo hace, podrá recuperar una contraseña perdida. También puede seleccionar Skipadding SMTP server configuration (Omitir adición de la configuración del servidor SMTP) y especificarla configuración más tarde en EDR appliance console.
SMTP Server (ServidorSMTP) y Port (Puerto)
El nombre de dominio completo y el númerode puerto del servidor de correo seguro. ________.________.________.________
Correo electrónico delappliance
La dirección de correo electrónico desdedonde se envían las alertas, como unanotificación de la caducidad de la licencia.
___________________@_____________._____
11
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Configuración Descripción Valor que debe introducir
Authorize (Autorizar) Si su servidor de correo requiere un inicio desesión seguro para recibir mensajes, escribaun nombre de usuario y una contraseña queSymantec EDR pueda usar para autenticarcon el servidor de correo.
Nombre de usuario:_______________________________Contraseña:Proporcione esta información al administrador que instalael appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.
Create an Administrativeaccount (Crear unacuenta administrativa)
Estas son las credenciales de inicio de sesión para la cuenta de administrador inicial. Se necesita esteinicio de sesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.
Logon name (Nombre deinicio de sesión)
Nombre de inicio de sesión del administradorinicial _______________________________
Nombre para mostrar El nombre del administrador que apareceinicialmente, tal y como aparece en laconsola de EDR appliance console.
_______________________________
User email address(Dirección de correoelectrónico del usuario)
La dirección de correo electrónico deladministrador inicial para las notificaciones. ____________________@____________._____
Ejecutar el Asistente de configuración
Hoja de trabajo de instalación completada por:
Nombre: _______________________________________ Fecha: _________________________
Proporcionado a:
Administrador de EDR: _____________________________________________ Fecha: _________________________
Lista de comprobación previa a la instalación para los appliances físicos
Acerca de los roles de funcionamiento, los modos de funcionamientoy conexiones de redConfigure cada appliance para Symantec EDR con un rol y un modo de funcionamiento. Juntos, estos determinan cómoel dispositivo se conecta a su red y cómo funciona para proteger su red y para informar las amenazas.
Roles de funcionamiento | Modos de funcionamiento y conexiones de red
Roles de funcionamiento
12
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Es posible implementar el appliance como una plataforma de administración, un analizador de red o un dispositivo todoen uno. Se asigna el rol de funcionamiento cuando se ejecuta la secuencia de arranque en el appliance. Estos rolestienen la funcionalidad siguiente:
Plataforma deadministración
Si dos o más appliances están instalados, uno debe implementarse en el rol Management platform(Plataforma de administración).Una plataforma de administración aloja EDR appliance console y muestra los incidentes y endpointsen peligro para todos los analizadores conectados. La plataforma de administración presenta una vistacompleta de la actividad maliciosa en su red. La plataforma de administración además centraliza lasfunciones de configuración, administración y elaboración de informes.La plataforma de administración no analiza el tráfico de red.
Analizador de red Si dos o más appliances están instalados, todos los dispositivos excepto la plataforma de administraciónse deben implementar como analizadores de red. Cada analizador de red puede supervisar el tráfico enuna red diferente y enviar sus datos del incidente a la plataforma de administración. Según el modo defuncionamiento, el analizador de red puede bloquear el tráfico malicioso en tiempo real.Un analizador de red no tiene EDR appliance console. Se configura y se administra el analizador de reddesde la plataforma de administración. Sus datos del incidente se consolidan con los datos del incidentede otros analizadores de red y se informan desde la plataforma de administración. Cuando su red seamplía, se pueden instalar y conectar a la plataforma de administrador analizadores de red adicionalespara proteger las nuevas redes.
Todo en uno Si solamente un appliance está instalado, se debe implementar en el modo todo en uno. Un dispositivotodo en uno realiza las funciones de la plataforma de administración y del rol del analizador de red.
NOTE
Un dispositivo todo en uno no puede funcionar como una plataforma de administración para los analizadores dered. Solamente un appliance que tiene asignado el rol de la plataforma de administración puede administrar unanalizador de red.
Los roles que se eligen dependen de la velocidad de transferencia del tráfico de red. Para las instalaciones pequeñas ymedianas, es necesario tener un appliance que funcione en el rol todo en uno. Para instalaciones más grandes, se debeninstalar varios appliances con uno que actúe de plataforma de administración y que los appliances restantes actúen comoanalizadores de red.
Ejecución de la secuencia de arranque para configurar el appliance
Si desea cambiar el rol de funcionamiento de un appliance después de la instalación inicial, debe reinstalar el softwaredel appliance.
Conexiones de red y modos de funcionamiento
El modo de funcionamiento controla cómo se procesa su tráfico de red. También afecta cómo el appliance se conectafísicamente a su red.
La sección Modos de funcionamiento y conexiones de red de Symantec EDR describe los modos de Symantec EDRque están disponibles para los appliances y las conexiones de red que son necesarios para cada rol. Debe asignar unadirección IP estática a cada conexión de red de Symantec EDR.
13
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Table 7: Conexiones de red y modos de funcionamiento de Symantec EDR
Modo Descripción Conexiones de red requeridas
Bloqueo inline En el modo de bloqueo inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Se bloquean lasdescargas de archivos, los sitios web accedidos y el tráfico quese consideren maliciosos. Solamente el modo de bloqueo inlineproporciona protección en tiempo real contra amenazas.El appliance virtual tiene una interfaz inline en el modo debloqueo inline.El modelo ATP 8880 tiene dos interfaces inline en el modo debloqueo inline.
Note: El modo de bloqueo inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.
1 Administración2 WAN2 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)
Supervisión inline En el modo de supervisión inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Los archivosmaliciosos, los sitios web y el tráfico se registran para fines devisibilidad, pero no se bloquean. Cualquier amenaza que seencuentre en el modo de supervisión inline debe atenuarsemanualmente.El modo de supervisión inline se suele usar como prueba delrendimiento del sistema y para analizar un comportamientopotencial de bloqueo (de los informes) antes de implementarel bloqueo. Las conexiones físicas para los modos de bloqueoinline y supervisión inline son idénticas, de forma que no esnecesario volver a cablear cuando se cambia entre estosmodos.El appliance físico tiene dos interfaces inline en el modo desupervisión inline.El appliance virtual tiene una interfaz inline en el modo desupervisión inline.
Note: El modo de supervisión inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.
1 Administración2 WAN2 LAN1 WAN1 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)
14
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Modo Descripción Conexiones de red requeridas
Omisión (protecciónde modo inline)
Un appliance físico que se configura en modo inline cambiaautomáticamente a modo de omisión si el appliance no puedefuncionar. También cambia al modo omisión si está apagado.En modo de omisión, el tráfico de Internet fluye a través delos puertos LAN y WAN, pero no se realizan supervisiones nibloqueos. Las operaciones normales se reanudan cuando sereinicia el appliance o se vuelve a habilitar el análisis.Las NIC de Symantec EDR funcionan en el modo NIC estándar(sin conexión entre los puertos LAN y WAN) o en el modo deomisión (con conexión entre los puertos LAN y WAN) segúnestas circunstancias:• Instalada lista para usar:
Modo NIC estándar• Configurada para la implementación inline:
Modo de omisión• Configurada para la implementación de punto de conexión
de red:Modo NIC estándar
• Con una nueva imagen (restablecimiento a los valores defábrica) después de cualquier implementación anterior:Modo NIC estándar
El modo de omisión no está disponible para los appliancesvirtuales. Si un appliance virtual no puede funcionar o estádesactivado, se interrumpen las comunicaciones de red. Poreste motivo, los modos de bloqueo inline y supervisión inline nose recomiendan para los appliances virtuales.
Igual que el modo de bloqueo inline osupervisión inline
Punto de conexiónde red
En el modo de punto de conexión de red, el appliance seconecta al puerto del punto de conexión de red o al puertoSpan en un conmutador. El appliance supervisa una copiadel tráfico entre los endpoints e Internet, de forma que losincidentes de supervisión y registro no afectan el rendimientode la red. Como los motores de supervisión y de registrofuncionan en diversos intervalos, puede haber un retraso leveen detectar los incidentes. Todas las amenazas se debenatenuar manualmente.El appliance puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El appliance virtual puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El modelo 8880 puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red. El modelo 8840 puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.
1 Administración1 conexión de supervisión para cada redsupervisada
Plataforma deadministración
En el modo de plataforma de administración, todas lascomunicaciones y la administración pasan a través del puertode administración. Puesto que un appliance de la plataforma deadministración no analiza, solo la conexión de administración esnecesaria.
1 Administración
Se elige el modo de funcionamiento para un dispositivo todo en uno o analizador de red de EDR appliance console. Unaplataforma de administración funciona en el modo de plataforma de administración de forma automática.
15
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Configurar la interfaz de red y habilitar el análisis
Acerca de las configuraciones de red y las conexiones de puertos
Dónde colocar el appliance en su red para obtener mejores resultados
Cómo Symantec EDR aplica políticas de la lista de denegación basadas en su modo de funcionamiento
Acerca de cómo seleccionar un analizador de redLos siguientes factores determinan la cantidad de analizadores de red recomendados.
Hardware en comparación a virtual Tome esta decisión según su infraestructura actual. Los usuarios con una inversión importanteen VMware deberían usar appliances virtuales. Los usuarios con una inversión baja o nula enVMware deberían usar hardware.Las soluciones de hardware tienen NIC de omisión, por lo que, en caso de error, SymantecEDR continúa pasando el tráfico cuando se implementa inline. Por lo tanto, el hardware real esconveniente para implementaciones inline.Para obtener más información, consulte la guía de instalación para su plataformacorrespondiente (appliance físico o virtual).
Ancho de banda disponible Las soluciones de hardware tienen mayor velocidad de transferencia que las soluciones virtuales.10 GB por puerto.R220 y R330 tienen una velocidad de transferencia de 1 Gbps en sus NIC únicos. R720 y R730tienen dos NIC que pueden alcanzar 1 Gbps cada uno.Consulte la Guía de evaluación del tamaño de Symantec Endpoint Detection and Response paraobtener más información.
Endpoints totales en laorganización
Mientras que cada implementación varía, el appliance físico tiene una capacidad deaproximadamente 25000 conexiones simultáneas. Estos números son para el modo inline. En elmodo de punto de conexión, el hardware puede admitir aproximadamente el doble de conexionesque en el modo inline.Las máquinas virtuales pueden controlar 2 mil conexiones simultáneas.Mientras que cada implementación varía, R220 y R330 tienen una capacidad deaproximadamente 10000 conexiones simultáneas. R720 y R730s pueden admitir 25000conexiones simultáneas. Estos números son para el modo inline. En el modo de punto deconexión, el hardware puede admitir aproximadamente el doble de conexiones que en el modoinline.
Funciones de Symantec EDR Si la implementación es para usar principalmente el análisis de red, una implementaciónseparada de analizador y plataforma de administración proporciona espacio para aumentar lacapacidad de análisis. En este caso, el appliance físico tiene más capacidad de almacenamientoy es adecuado para la plataforma de administración. La cantidad de analizadores dependería dela cantidad de puntos de entrada y salida en la red y la cantidad de tráfico en esos puntos.Una implementación de todo en uno debe poder administrar todo el tráfico para el crecimientoprevisto de la organización durante la vida del appliance. Si la implementación funcionaprincipalmente como Symantec EDR: Endpoint, seleccione una implementación todo en uno.
Acerca de las configuraciones de red y las conexiones de puertosEn la siguiente tabla se describen las formas de conectar Symantec Endpoint Detection and Response a la red.
NOTE
Las conexiones de puertos varían según el modelo, la versión y el rol del appliance.
16
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Conexiones compatibles con rol de appliance
Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a
Punto de conexión dered/puerto SPAN simple
Esta configuraciónsupervisa el tráficoentre los endpoints eInternet, pero no bloquealas transferencias dearchivos o sitios web.El tráfico de Internetse copia al puertoconmutador mediante laduplicación del puertoque se configura en elconmutador.Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Estaconfiguración es fácil y esútil como prueba inicialde Symantec EDR.
Puerto en el conmutadorLAN
Conecte Supervisión1al puerto o punto deconexión de red enel conmutador LANconfigurado en modoSpan.
Sin utilizar
Punto de conexiónde red/Puerto spancon varios puertos desupervisión
Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Lospuertos de supervisiónadicionales permitenque el mismo appliancese conecte a variosconmutadores dediversas subredes. Estaconfiguración no bloquealas transferencias dearchivos o los sitios web.
Puerto en el conmutadorLAN
Conecte Supervisión1al puerto o punto deconexión de red enel conmutador LANconfigurado en modoSpan.
Conecte Supervisión2al puerto o punto deconexión de red enel conmutador LANconfigurado en modoSpan.
Inline simple Es posible bloquearlas transferencias dearchivos y los sitiosweb usando estaconfiguración.La configuracióninline necesita másconexiones de red quela configuración porpunto de conexión dered o puerto SPAN.Idealmente, es necesarioimplementar SymantecEDR inline entre elcliente y el firewall. Si usaun proxy, debe conectarel appliance entre elcliente y el proxy.
Puerto en el conmutadorLAN
Puerto LAN del firewallde Internet
Puerto en el conmutadorLAN
17
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a
Inline con dos firewalls,dos proxy y dosappliances
Puede conectar dosappliances a dosfirewalls como partede un entorno de altadisponibilidad. Puedeconfigurar los firewallscon una conmutaciónpor error activa/activa ocon una conmutación porerror activa/en espera.Debe configurar losappliances de maneraidéntica, excepto por laconfiguración de red.Ambos appliances sedeben conectar a lamisma plataforma deadministración.
Puerto en el conmutadorLAN
Puerto LAN del firewallde Internet
Puerto en el conmutadorLAN
Plataforma deadministración
En una configuraciónde plataforma deadministración, unappliance se configurapara administrar otrosappliances. Esteappliance no analiza,de forma que requieresolamente una conexiónde administración.
Puerto en el conmutadorLAN
Sin utilizar Sin utilizar
Dónde colocar el appliance en su red para obtener mejores resultados
Dónde colocar el appliance en su red para obtener mejores resultadosLa disposición de su appliance depende de si el appliance es una plataforma de administración, un analizador de red oun dispositivo todo en uno. El appliance de Symantec Endpoint Detection and Response debe poder realizar lo siguientesegún su rol:
• Analizar todo el tráfico de red que entra y sale de la organización• Determinar el origen y el destino de todo el tráfico• Detectar los endpoints de conexión internos• Actuar como servidor proxy de red para los endpoints (si se integra con Symantec Endpoint Protection Manager)• Tener un efecto mínimo en el rendimiento de red
Si su arquitectura incluye una zona desmilitarizada (DMZ) y se integra Symantec EDR con Symantec EndpointProtection, no coloque lo siguiente en la zona desmilitarizada:
• Appliance de la plataforma de administración• Appliance todo en uno• SEP
Implementar el appliance entre un proxy y el firewall evita que Symantec EDR detecte la dirección IP del endpoint deorigen. Es decir que, en este caso, es necesario habilitar el campo con el encabezado X-Forwarded-For:. Es posibleque también necesite configurar su firewall para eliminar el campo con el encabezado X-Forwarded-For:.
Especificar el tráfico que el proxy examina
18
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Symantec EDR no analiza el tráfico entre equipos internos. La excepción es cuando uno de los equipos es un servidorproxy. Se analiza el tráfico interno que se dirige a un servidor proxy porque es tráfico de red saliente.
Si desea que Symantec EDR se conecte a Internet a través de un servidor proxy, es necesario tratar el appliancecomo un dispositivo de confianza y deshabilitar la autenticación. Symantec EDR no admite el paso de credenciales deautenticación básica al proxy. Symantec EDR admite la autenticación de contraseñas simple o básica al proxy.
Es posible usar el puerto de administración para cualquiera de las siguientes acciones:
• Para acceder a EDR appliance console.• Para la comunicación con los servidores de Symantec (por ejemplo, LiveUpdate, aislamiento de procesos basado en
la nube, Insight, telemetría, etc.).• Para facilitar la comunicación con SEPM y los endpoints para el proxy del endpoint.
La red de administración no debe estar abierta a Internet por completo. Si necesita acceder a la red de administracióndesde afuera, se recomienda una conexión VPN o una conexión de escritorio remoto efímera.
En el modo inline, el puerto de administración debe estar en una subred diferente de la interfaz inline.
Las siguientes figuras muestran ejemplos de configuraciones de red.
NOTE
Puede usar el appliance 8840 o 8880 de ATP en cualquiera de estas configuraciones.
Es posible que necesite cables cruzados para la implementación inline si los dispositivos conectados a los puertos WANy LAN no tienen la configuración automática de MDI/MDI-X.
19
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
20
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
21
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Acerca de las configuraciones de red y las conexiones de puertos
Conexiones compatibles con rol de appliance
Flujo de trabajo de instalación del appliance físico
Flujo de trabajo de instalación del appliance virtual
Puertos necesarios del firewallSegún el diseño de red, es posible que deba abrir algunos puertos en su firewall y editar sus reglas de firewall. Estoscambios le permiten acceder a las direcciones web importantes que son esenciales para las operaciones de SymantecEndpoint Detection and Response.
22
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Direcciones IP y web de Symantec EDR enumera las direcciones IP y web a las que Symantec EDR requiere acceso.
Table 8: Direcciones IP y web de Symantec EDR
Direcciones web/dirección IP Protocolo Puerto Descripción
• remotetunnel1.edrc.symantec.com• remotetunnel2.edrc.symantec.com• remotetunnel3.edrc.symantec.com• remotetunnel4.edrc.symantec.com• remotetunnel5.edrc.symantec.com
HTTPS 443 Permite el acceso remoto del Soporte deSymantec al appliance de Symantec EDR.
https://api-gateway.symantec.com TCP 443 Accede al servicio de Targeted AttackAnalytics (Análisis de ataque dirigido) deSymantec.
licensing.dmas.symantec.com TCP 443 Usado para conseguir la licencia de Cynic.api.us.dmas.symantec.comapi.eu.dmas.symantec.com
TCP 443 Usado para realizar consultas a servidores deCynic en EE. UU. y Reino Unido (requeridos).
liveupdate.symantec.com TCP 80 Usado para comprobar si hay definicionespara las tecnologías de detección deSymantec y descargarlas.
ratings-wrs.symantec.com TCP 443 Usado para consultar al servidor de NortonSafe Web para identificar sitios webmaliciosos.
stnd-avpg.crsi.symantec.comstnd-ipsg.crsi.symantec.com
TCP 443 Usado para enviar telemetría de detección aSymantec.
register.brightmail.com TCP 443 Usado para registrar el appliance.swupdate.brightmail.com TCP 443 Usado para comprobar si hay nuevas
versiones de Symantec EDR y descargarlas.shasta-rrs.symantec.comshasta-mrs.symantec.com
TCP 443 Usado para realizar búsquedas de reputaciónpara el archivo ejecutable de Windows y losarchivos instalables de APK.
datafeedapi.symanteccloud.com TCP 443 Usado para descargar Email Security.cloud yeventos de EDR: Roaming.
stats.norton.com TCP 443 Cuando se configura la telemetría, se usa paraenviar estadísticas de telemetría a Symantec.
telemetry.symantec.com TCP 443 Cuando se configura la telemetría, se usapara enviar telemetría de archivo y para cargarpaquetes de diagnóstico a Symantec.
EDR appliance console TCP 443 (entrante) o en elintervalo de 1024 a9997
Acceso a API pública de Symantec EDR.
https://sso1.edrc.symantec.com TCP 443 Usado para SSO.
Puertos y configuración de Symantec EDRdescribe los puertos que Symantec EDR usa para las comunicaciones, lasactualizaciones de contenido y las interacciones con los servicios de detección de Symantec.cloud.
23
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Table 9: Puertos y configuración de Symantec EDR
Servicio Protocolo Puerto De Para Descripción
Hacer copia de seguridad FTP; SSH 20 TCP, UDP21 TCP22 TCP, UDP
Plataforma deadministración oappliances todoen uno
Servidor dealmacenamientode copia deseguridadconfigurado(Tráfico interno)
Servidor FTP: puertos 20 y 21del FTPServidor SSH: puerto 22 deSSH
Notificaciones por correoelectrónico
SMTP 25 TCP587 TCP
Plataforma deadministración oappliance todoen uno
Servidor SMTP(Tráfico interno)
Comunicación con el servidorSMTP.
Actualizaciones decontenido
HTTP 80 TCP Todos losappliances
Symantec(Tráfico externo)
Definiciones de virus yVantage y otro contenido queLiveUpdate entrega.Este puerto es necesario parael funcionamiento apropiadodel producto.
Entrega de estadísticas HTTP 80 TCP Todos losappliances
Symantec(Tráfico externo)
Envía los datos a Symantecpara propósitos estadísticos yde diagnóstico.Los datos privados no seenvían por este puerto.
(ECC) 2.0 HTTPSHTTP
44380
Endpointsadministrados deSEP
Symantec EDR Comunica los comandos conlos endpoints.Acerca de EndpointCommunications Channel
ECC 1.0 HTTPS 8446 Symantec EDR SEPM Comandos de SEPM.Envíos de endpoint/RRSECC 2.0
HTTPSHTTP
4438080
SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.
Envíos de endpoint/RRSECC 1.0
HTTPSHTTPHTTP
443808443¹
SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.
Servicios de detección,análisis, correlación ytelemetría en la nube deSymantec.
Si EndpointActivityRecorder estáhabilitadoSi EndpointActivityRecorder estádeshabilitado
443 TCP Todos losappliances
Symantec(Tráfico externo)
Intercambios de datos detelemetría y consultas deservicios en la nube.Si Endpoint Activity Recorderestá habilitado, SEP envíaeventos de condenadirectamente a SymantecEDR.
Información sobrecondenas del antivirusy de la prevención deintrusiones
HTTPS TCP 8080 deHTTP o HTTPS443 TCPTCP 80 de HTTP oHTTPS 8443 TCP
Clientes de SEP Plataforma deadministraciónde SymantecEDR
Información sobre los archivosy el tráfico de red que SEPdetecta.
24
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Servicio Protocolo Puerto De Para Descripción
Información sobrecondenas del antivirusy de la prevención deintrusiones
HTTPSHTTP
443 TCP80
Plataforma deadministraciónde SymantecEDR
Symantec(tráfico externo)
Información sobre los archivosy el tráfico de red que SEPdetecta.
Actualizaciones delproducto
HTTPS 443 TCP Todos losappliances
Symantec(Tráfico externo)
Encuentra y entrega versionesmás recientes de SymantecEDR.
EDR appliance console HTTPS 443 TCP443 (entrante) oen el intervalo de1024 a 9997
Cliente que seconecta paraadministrar unappliance
Plataforma deadministración oappliance todoen uno(Tráfico interno)
Acceso a EDR applianceconsole para un appliance todoen uno o una plataforma deadministración.
Los analizadores de redEDR appliance console ytodo en uno
SSH 22 Cliente que seconecta paraadministrar unappliance
Plataforma deadministración,analizador oappliance todoen uno(Tráfico interno)
Acceso de la línea decomandos para un appliancetodo en uno o una plataformade administración.
Conexión de SynapseSEPM con Microsoft SQLServer (opcional)
JDBC TCP 1433 (opciónpredeterminada)
Plataforma deadministración oappliance todoen uno
Microsoft SQLServer de SEPM(Tráfico interno)
Necesario si usa MicrosoftSQL Server para SEPM ySynapse.Los administradores deSEPM pueden configurar unpuerto diferente para estacomunicación.
Canal de comunicaciones(instalaciones delanalizador de redy la plataforma deadministración solamente)
AMQP 5671 TCP5672 TCP
Applianceanalizador de red
Plataforma deadministración(Tráfico interno)
Comunicaciones entre laplataforma de administración ylos analizadores de red.No requerido para unainstalación de dispositivotodo en uno. Después delintercambio inicial en estepuerto, la comunicación seprotege.
Bloquear la página(modo de bloqueo inlinesolamente)
HTTP 8080 TCP Analizador dered
Endpointsprotegidos(Tráfico interno)
Envía la página de bloqueocuando el contenido estábloqueado en un endpoint.No requerido para los modosde punto de conexión de red/Span o Supervisión inline.
Conexión de SynapseSEPM con la BD integrada(opcional)Compatible con SEPM14.3 MP1 y versionesanteriores.
HTTPS 8081 TCP (opciónpredeterminada)
Plataforma deadministración oappliance todoen uno
Servidor deSEPM(Tráfico interno)
Necesario si usa la basede datos integrada para laconexión de Synapse conSEPM.
Conexión a la base dedatos de SEPM
HTTPS TCP 2638 (opciónpredeterminada)
Plataforma deadministración oappliance todoen uno
MS SQL Express
25
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Servicio Protocolo Puerto De Para Descripción
Conexión de SynapseSEPM con los serviciosweb de SEPMde Supervisión yadministración remota(RMM) (opcional)
HTTPS TCP 8446 (opciónpredeterminada)
Plataforma deadministración oappliance todoen uno
Servidor deSEPM
Necesario si se conectaal servidor de SEPM paraejecutar las operaciones deadministración.Por ejemplo, agregar o eliminarlos elementos de la lista negrao colocar un endpoint encuarentena.
Syslog Syslog El puerto TCP(preferido) oUDP debe ser elmismo que estáconfigurado enEDR applianceconsole paraSyslog
Todos losappliances
Servidor Syslogconfigurado(Tráfico interno oexterno basadoen su entorno)
Si se configura Syslog, estaconexión entrega los mensajesde registro a un Syslog remoto.
EDR: EmailEDR: Roaming
HTTPS 443 TCP Plataforma deadministración oappliance todoen uno
Symantec Esta conexión permite aSymantec EDR recopilareventos de condenas de EDR:Roaming y EDR: Email cuandose habilita la correlación deSynapse para uno de estosservicios.
Active Directory LDAPS 636 Plataforma deadministración oappliance todoen uno
Servidor deActive Directory
Esta conexión permite queSymantec EDR se integrecon Active Directory para laautenticación de usuario.
Vínculo de SecurityAnalytics
HTTPSTCP, UDP
443 Plataforma deadministración oappliance todoen uno
Appliance virtualo appliancede SymantecSecurityAnalytics
Esta conexión le permite aSymantec EDR integrarse conSymantec Security Analyticspara brindar un vínculoen los eventos de registroindividuales para dirigir alos usuarios a informaciónadicional sobre el movimientode red relacionado.
¹ El puerto 8443 está disponible solamente si se ha utilizado este puerto en versiones anteriores de Symantec EDR ydesde entonces se ha actualizado. Si está instalando Symantec EDR por primera vez, este puerto no está disponible.
Dónde colocar el appliance en su red para obtener mejores resultados
Flujo de trabajo de instalación del appliance físico
Flujo de trabajo de instalación del appliance virtual
26
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Recomendaciones de proxyLas siguientes son recomendaciones de Symantec sobre el proxy:
Análisis de red Las opciones de implementación de proxy son las siguientes:• Implementar Symantec EDR entre la red interna y el proxy.
Se recomienda esta configuración de implementación.Cuando los clientes implementan Symantec EDR entre la red interna y el servidor proxy, seproporciona a Symantec EDR visibilidad completa de la información del endpoint.Es necesario implementar Symantec EDR cuando está equilibrando la carga de proxies entrela red interna y un conjunto de proxy. Esta información asegura que Symantec EDR realizarconmutación por error en el proxy. En esta situación, el puerto LAN del proxy es el lugar bueno aconecte Symantec EDR inline.
• Implementar Symantec EDR entre el proxy y su firewall.Cuando los clientes implementan Symantec EDR entre el proxy y su firewall, los clientes debenhabilitar la función X-forwarded-for en el proxy. El firewall debe tener la capacidad de eliminar lafunción X-forwarded-for. Los clientes deberían ver la documentación de su firewall para obtenerinstrucciones sobre cómo eliminar esta etiqueta. La desventaja de esta implementación es queconfigurarla requiere más esfuerzo.Especificar el tráfico que el proxy examina
Administración del tráficode Symantec EDR a losservidores de backend deSymantec
Este tráfico del proxy no admite la interceptación de SSL. Si el servidor proxy tiene la interceptaciónde SSL habilitada, los clientes deben crear una política para permitir que se omita el tráfico deSymantec. Esta política impide que el proxy analice el tráfico de Symantec, lo que reduce lasdemandas de recursos.
Matriz de compatibilidad de plataformas de Symantec EDRUse la matriz que aparece a continuación para verificar que la instalación actual de Symantec EDR cumpla con losrequisitos para admitir las funciones de Symantec EDR.
Table 10: Matriz de compatibilidad de plataformas
Plataforma Configuración Especificaciones ECC 1.0ECC 2.0Eventos
predeterminados¹
ECC 2.0Todos loseventos
Analizadorsolamente
Modo TAP deprocesamiento
Analizadorsolamente
Modo inline deprocesamiento
Máquinavirtual ESXi
ConsulteSymantec EDR3.0 o versionesposteriores deVMware
12 núcleosMemoria: 48GBUnidad dedisco duro: 500GB
20 000endpoints
20 000endpoints
No se admite 300 Mbps 200 Mbps
27
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Plataforma Configuración Especificaciones ECC 1.0ECC 2.0Eventos
predeterminados¹
ECC 2.0Todos loseventos
Analizadorsolamente
Modo TAP deprocesamiento
Analizadorsolamente
Modo inline deprocesamiento
ConsulteSymantec EDR3.0 o versionesposteriores deVMware con lasespecificacionesde adición de HD
12 núcleosMemoria: 48GB1,5 TB (1 TBdisco duro,además deldisco duro de500 GB de lamáquina virtualexistente)
80 000endpoints
80 000endpoints
10 000endpoints
300 Mbps 200 Mbps²
S550 Configuraciónpredeterminada
18 núcleosMemoria: 192GBUnidad dedisco duro:4,158 GB
100 000endpoints
100 000endpoints
50 000endpoints
N/D N/D
8840 8840v1 Dell r220 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB
10 000endpoints
No se admite No se admite 1.4 Gbps 950 Mbps
8840v2 Dell r330 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB
10 000endpoints
No se admite No se admite 1.4 Gbps 950 Mbps
8880 8880v1 Dell r720 12 núcleosMemoria: 96GBUnidad dedisco duro: 931GB
50 000endpoints
No se admite No se admite 2.7 Gbps 1.8 Gbps
8880v1 Dell r720+ HD
12 núcleosMemoria: 96GBUnidad dedisco duro:4,158 GB
50 000endpoints
50 000endpoints
25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)
2.7 Gbps 1.8 Gbps
28
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Plataforma Configuración Especificaciones ECC 1.0ECC 2.0Eventos
predeterminados¹
ECC 2.0Todos loseventos
Analizadorsolamente
Modo TAP deprocesamiento
Analizadorsolamente
Modo inline deprocesamiento
8880v2 Dell r730 18 núcleosMemoria: 96GBUnidad dedisco duro: 558GB
90 000endpoints
No se admite No se admite 2.7 Gbps 1.8 Gbps
8880v2 Dell r730+ HD
18 núcleosMemoria: 96GBUnidad dedisco duro:4,158 GB
90 000endpoints
50 000endpoints
25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)
2.7 Gbps 1.8 Gbps
8880v3 Dell r730con memoria yHD
18 núcleosMemoria: 192GBUnidad dedisco duro:4,158 GB
100 000endpoints
100 000endpoints
50 000endpoints
2.7 Gbps 1.8 Gbps
¹ Los eventos de inicio y de finalización de procesos están deshabilitados.
² Symantec no recomienda el modo inline para el appliance virtual. Cuando se implementa un appliance virtual en elmodo inline, se corre riesgo porque no se puede omitir.
Cómo obtener un archivo de licencia de Symantec EDR e instalarloCuando compre Symantec EDR, Broadcom le enviará un correo electrónico de bienvenida con la confirmación del pedidoque incluye el número de serie y un archivo adjunto con la clave de licencia.Si no ha recibido una carta de bienvenida de Broadcom o no puede encontrar el archivo de la clave de licencia, haga clicaquí para acceder al sitio web de Broadcom desde el que podrá acceder al archivo de la clave de licencia.
Guarde el archivo de la clave de licencia en una ubicación a la que pueda acceder desde la EDR appliance console.
Instale el archivo de la clave de licencia en la EDR appliance console para la activación del producto.
1. En EDR appliance console, haga clic en Settings (Configuración) > Global.
2. Desplácese hacia abajo hasta la sección Licensing (Licencias) y haga clic en Upload License (Cargar licencia).
3. En el cuadro de diálogo Cargar licencia, vaya al archivo de licencia, selecciónelo y después haga clic en Cargar.
La nueva licencia surte efecto de forma inmediata, aunque deba ser distribuida a cada uno de los analizadores. Si lalicencia anterior ha caducado, asegúrese de habilitar de nuevo el análisis en todos los dispositivos analizadores.
Configurar la interfaz de red y habilitar el análisis
29
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Related LinksSymantec to Broadcom Transition Guide - My Entitlements
30
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Instalación del appliance físico
Flujo de trabajo de instalación del dispositivo S550
Paso Acción Descripción
1 Complete todos loselementos en la lista decomprobación previa a lainstalación.
Completar la lista de comprobación previa a la instalación asegura que cumpletodos los requisitos necesarios para instalar un appliance. También garantizaque se hayan completado todas las tareas requeridas antes de que comience lainstalación.Lista de comprobación previa a la instalación para los appliances físicosHoja de trabajo de instalación del appliance físico
2 Instale el appliance. Instale el hardware en un bastidor y conecte los cables de red y los cables dealimentación.Conexión de los cables
Note: El rol del appliance (todo en uno, plataforma de administración oanalizador de red) y el modo de funcionamiento determinan las conexiones porcable y las asignaciones de puertos.
Note: Acerca de los roles de funcionamiento, los modos de funcionamiento yconexiones de red
Encendido del appliance S550 y verificación de los LEDConfiguración del terminal serie o el software de emulación del terminalMontaje en bastidor del appliance
3 Ejecute la secuencia dearranque.
Abra la consola y ejecute la secuencia de arranque.Durante la secuencia de arranque, se le pedirá que proporcione la informaciónde la configuración del appliance. Su administrador de Symantec EDR leproporciona esta información en la lista de comprobación de instalación.Ejecución de la secuencia de arranque para configurar el appliance
4 Ejecute el comandostatus_check.
Ejecute el comando status_check para determinar si la conectividad de redse configuró correctamente. El comando enumera todos los elementos que secomprueban y el estado que indica si cada elemento es correcto o no.Comando status_check
5 Ejecute el asistente deconfiguración.Plataforma deadministración oappliances todo en unosolamente.
El asistente de configuración de Symantec EDR le guía a través de lospasos obligatorios para la configuración de un dispositivo de plataforma deadministración o todo en uno. La configuración incluye cargar la licencia delproducto y crear la primera cuenta de administrador, de modo que pueda iniciarsesión en EDR appliance console.Ejecutar el Asistente de configuración
6 Realizar las tareas ylas configuracionesposteriores a la instalación.Para todas lasconfiguraciones,excepto la plataforma deadministración.
Después de salir del Asistente de configuración, inicie sesión en EDR applianceconsole. Realice las tareas recomendadas para comenzar a analizar el tráfico yrecopilar los datos de incidentes y eventos.Cómo completar las tareas de configuración
31
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Paso Acción Descripción
7 Pruebe el appliance. Ejecute el comando status_check para determinar de nuevo si los valores deconfiguración se han especificado correctamente.Symantec tiene una página web de prueba, http://testatp.coe.org.uk, quecontiene una serie de vínculos. Cuando haga clic en cada uno de los vínculos,verá un incidente correspondiente en la base de datos.En el modo de bloqueo inline, las descargas de archivos deben interrumpirse.También debe comprobar si el modo de omisión funciona correctamente.Prueba de Symantec EDR para la supervisión y el bloqueo correctosPrueba del modo de omisión del appliance
Conexión de los cables en el appliance S550
Asegúrese de que el appliance esté en una superficie plana y nivelada. Si prefiere montar en bastidor el applianceprimero, vaya al siguiente vínculo:Montaje en bastidor del applianceLos cables de red no están incluidos con el appliance. Asegúrese de usar solamente cables Ethernet directos. Serecomiendan los cables de la categoría 6A para la operación de Ethernet.
El siguiente procedimiento describe una implementación de endpoint típica para appliances de Symantec EDR (consultela ilustración a continuación).
32
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
1. Conecte el extremo RJ45 del cable serie incluido en el puerto serie RJ45 del panel real del appliance y conecte el otroextremo DB9 del cable al terminal serie o a la estación de trabajo con software de emulación de terminal.
La conexión en serie es necesaria para realizar la configuración inicial del appliance.
2. Conecte un cable Ethernet al puerto eth0 RJ45 con la etiqueta 0:0 y conecte el otro extremo al interruptor de red deadministración.
3. Conecte los cables de corriente alterna incluidos en las entradas de alimentación del appliance y conecte los otrosextremos a una fuente de alimentación.
Si está utilizando solamente las funciones del canal de comunicación de endpoints (ECC) o el host es una plataformade administración, no se requieren pasos adicionales para conectar los cables. Continúe con el siguiente tema:
Encendido del appliance S550 y verificación de los LED
Si está utilizando puertos de cobre, continúe con el paso 4.
4. Realice una de las siguientes acciones:
• Modo de bloqueo inline o supervisión inline:Conecte el puerto 2:0 al servidor que aloja el firewall. Opcionalmente, puede conectar el puerto 2:2 a otro host defirewall ascendente.
• Modo de punto de conexión de red:Conecte cualquiera de estos puertos a un puerto de punto de conexión de red o Span en un conmutador o unrouter.
33
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
5. Realice una de las siguientes acciones:
• Modo de bloqueo inline o supervisión inline:Conecte el puerto 2:1 a la red LAN corporativa. Opcionalmente, puede conectar el puerto 2:3 a la red LANcorporativa.
• Modo de punto de conexión de red:Conecte cualquiera de estos puertos a un puerto de punto de conexión de red o Span en un conmutador o unrouter.
Table 11: Resumen de puertos y funciones
0:0 puerto de administración2:0 Puerto WAN12:1 Puerto LAN12:2 Puerto WAN22:3 Puerto LAN2
Encendido del appliance S550 y verificación de los LED
Table 12: Estados de los colores LED del panel frontal
LED del panel frontal Estado de color
LED de alimentación • NegroApagado o sin energía.
• ÁmbarEncendido y arrancando.
• Verde intermitenteInterruptor apagado, pero hay energía eléctrica presente.
• VerdeEncendido.
LED de estado del sistema • NegroApagado o sin energía.
1. Confirme que los cables de alimentación del appliance estén conectados de forma segura a una fuente dealimentación.
2. Si el appliance no se enciende automáticamente, presione el interruptor de alimentación trasero.
NOTE
El estado del interruptor informático de alimentación del appliance (activado o desactivado) se mantiene aldesconectar la energía. Esto puede requerir que presione el interruptor de encendido al volver a conectar elappliance a la energía.
3. Verifique lo siguiente a medida que el appliance se inicia:
• El LED de energía se pone de color ámbar.• Cerca del final del ciclo de arranque, el LED de energía alterna entre ámbar y verde, lo que indica que el estado
del appliance es No configurado.• Después de configurar el appliance, el LED de energía es verde.
Ejecución de la secuencia de arranque para configurar el appliance
34
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Configuración del terminal serie o del software de emulación delterminalEste procedimiento se relaciona solamente con el appliance S550.
1. Confirme que el puerto serie RJ45 del panel posterior del appliance esté conectado a un terminal o una estación detrabajo serie con software de emulación de terminal.
2. Abra un programa de emulación de terminal como, por ejemplo, Microsoft HyperTerminal®, PuTTy, Tera Term oProComm™.
3. Configure el software de emulación de terminal para que use la siguiente configuración:
Velocidad en baudios 9600 bpsParidad NingunaControl de flujo NingunaBits de datos 8Bits de detención 1
Montaje en bastidor del appliance S550En este tema se describe cómo instalar el appliance en un bastidor de cuatro puestos.
PRECAUCIÓN Antes de montar el appliance en un bastidor:• Apague el appliance y desconecte todos los cables.• Verifique que el peso del sistema no supere el límite de peso límite del bastidor lleno.
Para obtener más información, consulte las instrucciones del fabricante incluidas con el bastidor.• Para garantizar la estabilidad del peso, cargue el bastidor de abajo hacia arriba.• Lea la sección “Advertencias de montaje en bastidor” de la Guía de seguridad y cumplimiento.• Tome medidas de seguridad y puesta a tierra adecuadas para evitar el riesgo de descarga eléctrica y evitar
lesiones corporales.• El appliance es muy pesado. Se recomienda la presencia de dos personas o ayuda mecánica para levantar el
appliance de la caja e instalarlo en el bastidor.• No coloque objetos en el appliance ni lo utilice como superficie de trabajo. Su hardware de montaje no admite
peso adicional.
El kit de montaje con riel deslizante incluido con el appliance de Symantec EDR permite montarlo en un bastidor de doso cuatro puestos. El kit permite montar sin necesidad de herramientas en bastidores de 4 puestos y le permite instalar oeliminar el appliance desde el frente del bastidor.
El kit de rieles deslizantes incluye las siguientes piezas:
35
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
• (2) rieles interiores del chasis• (2) rieles exteriores del bastidor• (1) kit para configuraciones de montaje de dos puestos
1. Desmonte los dos conjuntos de rieles laterales extendiendo completamente cada riel lateral y deslizando los rielesinteriores del chasis.
2. Conecte los dos rieles interiores al appliance. Alinee cada riel a los puestos de montaje en cada lado del chasis ydeslice los rieles hacia el frente del chasis hasta que los puestos de montaje se ajusten a su lugar.
36
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
3. Acople los rieles del bastidor al bastidor. Inserte el frente de cada riel en el bastidor al abrir y luego al soltar el pestillodelantero. Repita esta acción para agregar la parte posterior de los rieles, extendiendo o retirando los rieles segúnsea necesario para que se ajusten. Verifique que los rieles del bastidor estén instalados a la misma altura del bastidor.
37
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
4. Instale el appliance en el bastidor. Alinee los rieles interiores (conectados al appliance) con los rieles deslizantes enel bastidor y deslice el appliance suavemente en el bastidor hasta que haga clic y quede ajustado en su lugar. Elappliance se puede instalar desde la parte frontal o posterior del bastidor.
38
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
5. Opcionalmente, para extender el appliance desde el bastidor:a) Presione las palancas azules para desactivar el bloqueo de seguridad de los rieles.b) Mientras sigue presionando las palancas, tire suavemente o empuje el appliance de modo que se extienda hacia
el frente o la parte posterior del bastidor.
c) Quite la presión de las palancas de forma inmediata para que los bloqueos de seguridad del riel queden enposición completamente extendida. Procure no empujar ni tirar demasiado, especialmente mientras presiona laspalancas azules. Si lo hace, podría ocasionar que el appliance se caiga del bastidor.
d) Mientras sigue presionando las palancas, deslice cuidadosamente el dispositivo hacia afuera por la parte frontal oposterior del bastidor. Asegúrese de contar con la ayuda de dos personas o una ayuda mecánica para levantar elappliance del bastidor.
6. Vuelva a conectar los cables y verifique que el appliance esté funcionando.
Conexión de los cables
Encendido del appliance S550 y verificación de los LED
39
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Ejecutar arranque
Ejecución de la secuencia de arranque para configurar el appliancePaso 4 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.
Deberá abrir la ventana de la consola para ejecutar la secuencia de arranque.
Durante la secuencia de arranque, se le pedirá que proporcione la información de la configuración del appliance. Suadministrador de Symantec EDR le proporciona esta información en la hoja de trabajo de instalación.Hoja de cálculo de instalación del appliance virtualCuando la secuencia de arranque se complete, el sistema se reiniciará.
Es posible volver a ejecutar una secuencia de arranque (por ejemplo, para cambiar ciertas direcciones IP) después de lainstalación inicial desde la CLI usando el comando bootstrap. No es posible volver a ejecutar la secuencia de arranquepara cambiar el rol de funcionamiento del appliance.comando bootstrap
1. Realice una de las siguientes acciones:
Appliance virtual 1. En la ventana Integrated Remote Access Controller(Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de laconsola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.
2. Para abrir la ventana de la consola mediante vSphere.3. En el cliente de vSphere, haga clic en la ficha Console
(Consola).4. En el menú de la barra de herramientas, haga clic en el
icono Play (Reproducir).
Appliance físico 1. Presione el botón de encendido del appliance. (Eldispositivo tarda varios minutos en iniciarse).
2. Acceda a la consola a través del terminal de serie o eliDRAC.
2. En la ventana Integrated Remote Access Controller (Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de la consola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.
3. Para abrir la ventana de la consola mediante el cliente de vSphere, haga clic en la ficha Console (Consola) y, acontinuación, en el menú de la barra de herramientas, haga clic en el icono de reproducción.
4. En el mensaje de inicio de sesión en la ventana de la consola, inicie sesión con los siguientes datos:
Nombre de usuario = admin
40
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Contraseña = symantec
La secuencia de arranque comienza de forma automática cuando se inicia sesión por primera vez antes de laconfiguración.
Una vez que se completa la configuración, puede ejecutar la secuencia de arranque de nuevo usando el comandobootstrap de la CLI.
5. Para cada indicación, escriba una respuesta y después presione Intro para especificar la información necesaria.
La tabla siguiente describe las indicaciones de la secuencia de arranque:
New password: (Nueva contraseña:) Escriba una nueva contraseña segura para la consola.Esta contraseña reemplaza la contraseña predeterminada,symantec.
Weak password (Contraseña no segura)Try another [y/n]? (¿Desea probar otra [s/n]?)
Una contraseña similar a una palabra en el diccionario,demasiado corta o que no es lo suficientemente compleja esmenos segura. Escriba y para eliminar la nueva contraseñay para que se le solicite que intente de nuevo. Escriba n paraguardar la nueva contraseña que ingresó previamente.
Re-enter new password (Volver a especificar la nuevacontraseña):
Para confirmar la nueva contraseña, escríbala de nuevo ypresione Intro. Si las dos contraseñas no coinciden, se lepedirá que vuelva a escribir la contraseña.
Seleccione uno de los siguientes roles del appliance:1 = Plataforma de administración ..., 2 = Analizador de red ..., 3 =Todo en uno ... []?
Escriba el número que corresponde al rol para esteappliance. La indicación describe cada uno de los rolesdisponibles.
Configure the management port. IPv4 address []: (Configure elpuerto de administración. Dirección IPv4 []:)
Escriba una dirección IP estática para el puerto deadministración. Para una plataforma de administración o unappliance todo en uno, se usa esta dirección IP para accedera EDR appliance console desde un navegador.
IPv4 Netmask []: (Máscara de red IPv4 []:) Escriba la máscara de red para la dirección IPv4 del puertode administración.
Gateway []: Escriba la dirección IP para el gateway (conmutador o router)que el appliance puede usar para comunicarse con el restode su red.
Name server (IPv4) []:(Servidor de nombres [IPv4]) Escriba la dirección IP de un servidor de nombres que elappliance pueda usar para resolver las direcciones IP.
Configure another nameserver? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])
Escriba y (s) para agregar un servidor de nombres adicionalo n para usar solamente un servidor de nombres. Si escribey (s), se le pedirá que escriba la dirección IP de un segundoservidor de nombres.
Rol del analizador de red solamente:IP address of the Management Platform (Dirección IP de laplataforma de administración):
Escriba la dirección IP del puerto de administración delappliance de la plataforma de administración que controlaeste analizador.
Roles de la plataforma de administración o del analizador de redsolamente:Communication Channel password: (Contraseña del canal decomunicaciones)
Escriba una contraseña segura para cifrar lascomunicaciones entre la plataforma de administración ytodos sus analizadores de red. Esta contraseña debe serla misma para la plataforma de administración y todos losanalizadores de red. Debe ser diferente de la contraseñade la consola de administración. Las letras, los números,los puntos, los caracteres de subrayado y los guionesestán permitidos, y la contraseña puede ser de hasta 50caracteres.
41
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Roles de la plataforma de administración o del analizador de redsolamente: Re-enter Communication Channel password: (Volver aescribir contraseña del canal de comunicaciones:)
Para confirmar la contraseña del canal de comunicaciones,escríbala de nuevo y presione Intro. Si las doscontraseñas no coinciden, se le pedirá que vuelva a escribirla contraseña.
Configure IPv4 static routes? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])
Escriba y (s) para configurar una ruta estática IPv4 o npara omitir este paso de configuración. Las rutas estáticaspueden ser necesarias. Por ejemplo, use rutas estáticaspara conectar un analizador de red a su plataforma deadministración.
Destino (CIDR permitido):Gateway (Gateway):
Si elige configurar las rutas estáticas IPv4, se le pediráque escriba la dirección IP de destino y la dirección IP delgateway.
Add another route? [y/n] (¿Desea configurar otro servidor denombres? [s/n])
Después de configurar una ruta estática IPv4, escriba y(s) como respuesta a esta indicación para configurar otraruta estática IPv4. Escriba n para continuar a la siguienteindicación.Es posible configurar hasta tres rutas estáticas IPv4 enla secuencia de arranque. Es posible configurar las rutasestáticas adicionales en EDR appliance console.
What do you want to call this device? (¿Qué nombre desea dar aeste dispositivo?)
Escriba un nombre para identificar este sistema en EDRappliance console. Las letras, los números, los espacios, lospuntos y los guiones están permitidos, y el nombre puede serde hasta 50 caracteres.
Set NTP server [] Escriba la dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que el appliancetenga una hora precisa para indicar cuándo se realizandetecciones.
6. Cuando la configuración se completa, la consola muestra la configuración que usted configuró y después aparece elmensaje Save changes? [y/n] (¿Desea guardar los cambios? [s/n]). Escriba y (s) para guardar la configuración on para rechazarla y realizar cambios.
Si escribe n, la secuencia de arranque se reinicia desde el inicio. La mayoría de las indicaciones muestran el valoranterior que usted ingresó. Presione Intro para aceptar el valor anterior (si está presente) o escriba un nuevo valorpara corregir la entrada.
42
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Ejecución del Asistente de configuración
Ejecución del Asistente de configuraciónPaso 1 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.
El asistente de configuración de Symantec Endpoint Detection and Response le guía a través de los pasos obligatorios parala configuración de un dispositivo de plataforma de administración o todo en uno.
Durante la secuencia de arranque, asignó una dirección IP estática al puerto de administración del appliance. Necesita estadirección IP para acceder al Asistente de configuración y a EDR appliance console.
La cuenta de administración de la consola en la secuencia de arranque es independiente de la cuenta administrativa en elAsistente de configuración.
Este inicio de sesión del asistente de configuración no está disponible una vez completado el asistente.
NOTE
El appliance puede tardar varios minutos en iniciar y en iniciar los servicios necesarios antes de que puedaejecutar el asistente de configuración. Si la dirección IP del puerto de administración no responde, espere unosminutos y vuelva a intentarlo.
1. En un equipo accesible para el appliance, abra una ventana en un navegador compatible y escriba:https://<dirección IP del puerto de administración>.
Por ejemplo, si usted asignó la dirección IP estática 10.20.20.20 al appliance durante la secuencia de arranque,escriba https://10.20.20.20.
NOTE
Es necesario usar el protocolo HTTPS cuando se escribe la dirección del Asistente de configuración. Elprotocolo HTTPS es necesario.
2. Si el navegador muestra una advertencia de conexión o certificado no confiable, elija continuar y agregue unaexcepción, si es necesario.
La interfaz web de Symantec EDR incluye inicialmente un certificado autofirmado que se puede cambiar para usar uncertificado generado por el cliente después de la instalación inicial.
Configuración de acceso seguro a EDR appliance console
3. En la pantalla de inicio de sesión, escriba las siguientes credenciales y después haga clic en Sign In (Iniciar sesión) opresione Enter:
User name (Nombre de usuario): setup
Password (Contraseña): symantec
Esta cuenta se desactiva cuando se completa el Asistente de configuración.
43
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
4. En la pantalla Terms and Conditions (Términos y condiciones), lea los términos y las condiciones.
Es necesario aceptar los Terms and Conditions (Términos y condiciones) para continuar.
Las opciones de manejo de datos se habilitan de forma predeterminada. Es posible optar por anular la selección deestas opciones.
Habilitar las opciones de manejo de datos
5. Haga clic en Next (Siguiente).
6. Responda a las indicaciones en cada pantalla para completar la configuración obligatoria. Haga clic en Next(Siguiente) para ir a la pantalla siguiente o haga clic en Previous (Anterior) para volver a una pantalla que ustedcompletó.
La tabla siguiente describe las indicaciones adicionales en el Asistente de configuración y cómo responder a ellas.
Upload License (Cargarlicencia)
Haga clic en Browse (Examinar) para localizar el archivo de licencia y seleccione el archivo. Cuandose hace clic en Next (Siguiente), Symantec EDR carga el archivo.Debe cargar una licencia antes de que el dispositivo de Symantec EDR sea funcional. No es posibleusar Symantec EDR después de instalarlo sin una licencia. No existe un período de gracia.Cómo obtener un archivo de licencia de Symantec EDR e instalarlo
SMTP Settings(Configuración de SMTP)
Puede especificar la configuración de SMTP en el Asistente de configuración o puede seleccionarSkip adding SMTP server configuration (Omitir incorporación de la configuración del servidorSMTP) y especificar la configuración más tarde en EDR appliance console.Escriba el Servidor SMTP (nombre de dominio completo permitido) y el número de Puerto de suservidor de correo seguro.En el campo Appliance Email (Correo electrónico del appliance), escriba la dirección de correoelectrónico desde donde se envían las alertas, como una notificación de la caducidad de la licencia.Si su servidor de correo requiere un inicio de sesión seguro para recibir mensajes, seleccioneAuthorize (Autorizar). A continuación, escriba un nombre de usuario y una contraseña que SymantecEDR pueda usar para autenticarse con el servidor de correo.
Create an Administrativeaccount (Crear una cuentaadministrativa)
Especifique un nombre de inicio de sesión, una contraseña, un nombre para mostrar y una direcciónde correo electrónico de usuario para la cuenta de administrador inicial. Se necesita este inicio desesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.
7. Haga clic en Save (Guardar).
8. Haga clic en Exit (Salir) para terminar el asistente de configuración y mostrar la pantalla de inicio de sesión de EDRappliance console.
Comando status_checkPaso 7 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.
Descripción: Comprobar conectividad del servidor y estado del sistema. Este estado del sistema incluye valores comoestado del puerto de administración, estado de la interfaz, remisión de eventos e incidentes mediante el proxy de red yconectividad a los servidores de Symantec en la nube.
Sinopsis: status_check
Opción o argumento: No aplicable.
44
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Nota: De forma predeterminada, Cynic intenta contactar al servidor más cercano a la ubicación del equipo que envía amenos que se habilite la opción de usar el servidor de Cynic del Reino Unido en la página Settings (Configuración) >Global.
Servidor de Cynic predeterminado: https://api.us.dmas.symantec.com
Servidor de Cynic del Reino Unido: https://api.eu.dmas.symantec.com
45
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Tareas posteriores a la instalación
Cómo completar las tareas de configuraciónPaso 2 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.
Tareas para completar la instalación de Symantec Endpoint Detection and Response enumera las tareas que Symantecrecomienda realizar inmediatamente después de completar la instalación preliminar de Symantec Endpoint Detection andResponse.
Haga clic en los tokens de ayuda contextual en EDR appliance console para obtener más información sobre cómorealizar estas tareas.
Table 13: Tareas para completar la instalación de Symantec Endpoint Detection and Response
Tarea Descripción
Acceder a EDR appliance console. Realice las tareas y las configuraciones posteriores a la instalación en EDR appliance console.Cómo acceder a la EDR appliance console
Configure las siguientes opciones en la página Settings > Global (Configuración > Global).GlobalConfigurar la correlación deSynapse
Si SEP o Email Security.cloud protege la red, configure Synapse para correlacionar los datos deincidentes de estos orígenes con Symantec EDR.Acerca de la correlación de Synapse
Si pretende utilizar SymantecEndpoint Protection con SymantecEDR, configure la conexión delcontrolador de SEPM.
Se puede integrar Symantec Endpoint Detection and Response con Symantec EndpointProtection para:• Recopilar eventos de condena de SEPM y correlacionarlos con eventos de los otros puntos
de control• Configurar Symantec EDR para solicitudes de reputación de proxy desde sus endpoints• Enviar comandos a su instancia de SEPM (por ejemplo, para actualizar su lista de
denegación de SEPM).• Enviar comandos a sus endpoints (por ejemplo, para eliminar un archivo o poner en
cuarentena un endpoint)• Recuperar información de SEPM (por ejemplo, una lista de sus endpoints y su estado en
línea)• Recuperar información de sus endpoints (por ejemplo, un volcado de todos sus eventos)Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection
Configurar copias de seguridad. Configure una o más programaciones de copias de seguridad y ubicaciones.Acerca de hacer copias de seguridad y restauraciones de datos de Symantec EDR
Configure el acceso seguro a EDRappliance console.
Cargue un certificado para cifrar las sesiones de EDR appliance console.Configuración de acceso seguro a EDR appliance console
46
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Tarea Descripción
Para la operación en Bloqueoinline, también puede quererpersonalizar la página de bloqueo.
Las páginas de bloqueo se usan solamente cuando usted trabaja en el modo de bloqueo inliney el análisis está activado. Cuando Symantec Endpoint Detection and Response bloquea elacceso a un sitio web o evita la descarga de un archivo potencialmente malicioso, aparece unapágina de bloqueo. A través de la página de bloqueo, se le informa al usuario que la página estábloqueada y a quién tiene que notificar para obtener más información.Personalización y prueba de las páginas de bloqueo
Configure las siguientes opciones en la página Settings > Appliance (Configuración > Appliance).AppliancesEstablezca la configuración de redinterna.
Cuando define sus redes internas, especifica qué equipos son parte de su red y qué equipospertenecen al mundo exterior. Con esta información, Symantec EDR puede distinguir entre losequipos protegidos y los equipos que están fuera de la red.Definición de las redes internas a Symantec EDR
Configure la configuracióndel proxy de red y el proxyempresarial, si estos proxies estánpresentes en el entorno.
Symantec EDR admite los siguientes tipos de configuración proxy:• Un proxy de red. Symantec EDR usa un proxy de red para acceder a la red externa.• Un proxy empresarial dentro de un entorno empresarial. Symantec EDR trata al tráfico que
se dirige a un proxy empresarial (que pueda tener una dirección IP dentro de una red interna)de manera diferente que al tráfico que se dirige con un proxy de red.
Si usa proxies, cada appliance de Symantec EDR, ya sea en rol analizador, independiente oCIU, debe tener las direcciones IP de los proxies existentes.Configurar información del proxy de redCrear una lista de proxy empresarialesEspecificar el tráfico que el proxy examina
Configurar conexiones del servidorSyslog.
Conectarse a uno o más servidores Syslog (un SIEM, por ejemplo) para capturar y para informardatos externamente.Configuración de las conexiones a los servidores syslog
Configuración de servicios deaislamiento de procesos.
De forma predeterminada, Symantec EDR envía archivos al sistema de desactivación desoftware malicioso basado en la nube de Cynic de Symantec para su análisis. Sin embargo,puede mantener el análisis de archivos local y enviar los archivos a un appliance de análisis desoftware malicioso de Symantec de propiedad del cliente en las instalaciones para desactivacióny análisis.Configuración de Symantec EDR para usar aislamiento de procesos en la nube o aislamiento deprocesos en las instalaciones
Habilitar el análisis Después de configurar las opciones del appliance, se recomienda habilitar el análisis.Configurar la interfaz de red y habilitar el análisis
Configure las siguientes opciones en la página Settings > Users (Configuración > Usuarios).Administración de usuariosAgregar nuevas cuentas de EDRappliance console
Agregue cuentas adicionales de Admin (Administrador), Controller (Controlador) y User (Usuario)para acceder a EDR appliance console.Sugerencia: Como práctica recomendada, debe configurar al menos una cuenta de usuariode administrador adicional inmediatamente después de la instalación en caso de que hayaun problema de acceso a la EDR appliance console con las credenciales de cuenta deadministrador iniciales.Cómo agregar cuentas de usuario localLista de comprobación previa a la integración con Active Directory
Configure las siguientes opciones en la página Reports (Informes).Configurar informes. Configure los informes que se pueden generar en una programación diaria, semanal o mensual.
Acerca de informes
Prueba de Symantec EDR para la supervisión y el bloqueo correctosPaso 3 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.
47
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Symantec tiene un sitio web que puede usar para probar que Symantec Endpoint Detection and Response supervisadatos de red.
1. Inicie un navegador web en un equipo de la LAN que esté conectado a Symantec EDR.
2. En Internet, vaya a la siguiente URL:
http://www.broadcom.com
El sitio web de Broadcom debe visualizarse normalmente sin ningún mensaje.
3. En Internet, vaya a la siguiente URL:
http://testatp.coe.org.uk
4. Haga clic en cada uno de los vínculos en la página de prueba.
Es necesario ver un incidente correspondiente en la base de datos, si usted está en el modo de punto de conexiónde red o en modo de supervisión inline. Las detecciones de aislamiento de procesos basado en la nube puedenretrasarse durante la ejecución virtual.
Si está en modo de bloqueo inline, se interrumpen las descargas del archivo (excepto los nuevos envíos de archivosal espacio aislado basado en la nube). Los intentos subsiguientes de descargar el mismo archivo se incluyen en unalista de denegación.
Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red
Prueba del modo de omisión del applianceCuando el appliance de Symantec Endpoint Detection and Response está configurado en modo inline, el applianceentra en modo de omisión si no puede funcionar o se desactiva. En modo de omisión, el tráfico de Internet se redirige através de los puertos LAN y WAN, pero no se realizan supervisiones ni bloqueos. Para que el modo de omisión funcionecorrectamente, asegúrese de usar el tipo adecuado de cables Ethernet para la conexión a la LAN. Los indicadores LEDen la parte posterior de los appliances indican el modo de omisión si el appliance no está apagado.
NOTE
En el modo de omisión, los cables Ethernet en el puerto LAN y WAN se interconectan. Debe garantizar quela longitud total de los cables interconectados no supere la longitud máxima del cable Ethernet. La longituddel cable Ethernet, por estándar de cableado ANSI/TIA/EIA, es 100 m para Cat5e y Cat6. Para obtener másinformación sobre la longitud del cable Ethernet, consulte los estándares de cableado de ANSI/TIA/EIA.
Para probar el modo de omisión del appliance físico
1. En el panel de navegación izquierdo, haga clic en Settings (Configuración) > Appliances y, a continuación, hagaclic en un appliance de la lista.
Aparece la página de detalles del appliance.
2. En el panel Network Interface Settings (Configuración de interfaz de red), haga clic en el conmutador en el campoScanning (Análisis) para configurar el análisis en la posición Off (Desactivado). Haga clic en OK (Aceptar) si uncuadro de diálogo de advertencia que aparece le pregunta si está seguro de que desea deshabilitar el análisis.
Con el análisis deshabilitado, el appliance físico debería operar en el modo de omisión.
48
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
3. Intente acceder a Internet desde un equipo en la red LAN que el dispositivo supervisa o protege.
Debe poder acceder a Internet. Los indicadores LED de omisión en la parte posterior del appliance de Symantec EDRdeben estar encendidos, pero no deben centellear.
4. En EDR appliance console, haga clic Settings (Configuración) > Appliances y seleccione el dispositivo de la lista.A continuación, haga clic en el conmutador en el campo Scanning (Análisis) para configurar el análisis en la posiciónOn (Activado). Haga clic en OK (Aceptar) si un cuadro de diálogo de advertencia aparece preguntando si deseacontinuar.
5. Pruebe Symantec EDR para asegurarse de que funcione correctamente.
Prueba de Symantec EDR para la supervisión y el bloqueo correctos
Cómo acceder a EDR appliance consoleAcceda a la consola del appliance de EDR para configurar y administrar Symantec EDR, así como para realizar labúsqueda y recuperación de amenazas.
Acceda a EDR appliance console desde un navegador web en cualquier equipo cliente que pueda conectarse al puertode administración de la plataforma de administración o del appliance todo en uno.
NOTE
Para ver las páginas del appliance de Symantec EDR o acceder a la consola de Symantec EDR medianteel sitio web en la nube, debe estar conectado mediante la red LAN o VPN de su empresa o proporcionarle aSymantec EDR una dirección IP pública que sea accesible desde Internet. De lo contrario, aparece el siguientemensaje de error: No se puede mostrar esta página.
Si está utilizando un certificado autofirmado para su instalación de EDR, deberá aceptar el certificado en sunavegador.
1. En el equipo que puede acceder a la red conectada al puerto de administración, abra un navegador web.
2. En el navegador web, escriba lo siguiente:
https://<dirección IP>
Donde<dirección IP>es la dirección que se ha especificado para el appliance durante el proceso de secuencia dearranque.
Por ejemplo, si la dirección IP que usted especificó para el appliance es 192.168.42.24, vaya a la siguiente URL:
https://192.168.42.24
NOTE
Se debe utilizar el protocolo HTTPS para acceder a la EDR appliance console.
Para ciertos navegadores web, se debe configurar una excepción de seguridad del certificado para acceder a la EDRappliance console.En general, este paso es necesario solamente al iniciar sesión por primera vez en cada equipo.
3. En la página Log On (Inicio de sesión), en el campo User Name (Nombre de usuario), escriba el nombre de usuarioque le haya asignado el administrador.
4. En el campo Password (Contraseña), escriba la contraseña.Se le bloquea después de cinco intentos incorrectos.
Configuración de acceso seguro a EDR appliance console
Configuración del acceso de inicio de sesión único (SSO) a la EDR appliance console
Requisitos del navegador para EDR appliance console
49
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Appendix Materials
50
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Puertos, conectores e indicadores en el appliance
Acerca de los puertos, los conectores y los indicadores del appliancePuertos, conectores e indicadores en los appliances de Symantec EDR describe los puertos, los conectores y losindicadores que se encuentran en la parte posterior de los appliances de Symantec EDR.
NOTE
Las conexiones varían entre modelos, versiones y roles.
Conexión de los cables en el appliance S550
Conexiones compatibles con rol de appliance
Table 14: Puertos, conectores e indicadores en appliances de Symantec EDR
Puerto, conector o indicador Descripción
Unidad de distribución de energía(PDU) (recomendada)
Symantec recomienda usar una PDU para mejorar la calidad de la energía, el equilibrio decarga y el control y la supervisión remota.
Puerto USB Es posible usar este puerto para crear una nueva imagen del host con una memoria USB oun DVD que se conecte mediante un enchufe USB.
Puerto serie Conecte el puerto serie a otro equipo para acceder a la interfaz basada en caracteres de laConsola de serie.
Puerto Ethernet LAN/Monitor2 En el modo de punto de conexión de red, puede conectar el puerto Monitor2 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN a un conmutador conectado a su red interna.
Puerto Ethernet WAN1/Monitor1 En el modo de punto de conexión de red, conecte el puerto Supervisión1 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto WAN1 a un conmutador hacia su conexión a Internet osu firewall.
Puerto Ethernet LAN1/Monitor2 En el modo de punto de conexión de red, puede conectar el puerto Monitor2 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN1 a un conmutador conectado a su red interna.
Puerto Ethernet WAN2/Monitor3 En el modo de punto de conexión de red, puede conectar el puerto Monitor3 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto WAN2 a un conmutador hacia su conexión a Internet osu firewall.
Puerto Ethernet LAN2/Monitor4 En el modo de punto de conexión de red, puede conectar el puerto Monitor4 al dispositivo depunto de conexión de red o a un puerto de supervisión en un conmutador para SPAN.En el modo inline, conecte el puerto LAN2 a un conmutador conectado a su red interna.
Puerto Ethernet de administración(Mgmt)
Conecte el puerto de administración a un conmutador conectado a su red interna.El puerto de administración debe tener acceso a lo siguiente:• Servidor de nombres de dominio (DNS)• Servicios de Internet necesarios
Energía Este conector suministra electricidad al appliance. Es posible que el appliance cuente con unconector eléctrico adicional redundante.
51
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Puerto, conector o indicador Descripción
Omitir indicadores LED de la NIC Hay tres pares de indicadores LED en la tarjeta NIC de omisión.El par Vínculo/Actividad es verde sólido y emite una luz intermitente verde en la actividadcuando el modo de omisión está apagado. Se apaga cuando el modo de omisión estáencendido.El par de omisión es verde sólido cuando el appliance se está ejecutando en el modo deomisión y se apaga cuando el modo de omisión está apagado.El par DISC siempre está apagado (no se usa).
52
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Especificaciones de hardware
Especificaciones del appliance S550 de Symantec
Table 15: Especificaciones de hardware del appliance de S550
Especificación SKU6
CPU SkylakeXeon ® Gold 6140;Memoria caché de 24.75M(CD8067303405200)2 x 18 núcleos, 140W(2,30 GHz)
Unidad de disco duro interna SAS de 3.5" 4 unidades de disco duro SAS de 12 TBUnidad de estado sólido SAS de 800 GB interno de 2.5" NingunaUnidad de estado sólido NVMe de 800 GB interno de 2.5" NingunaMemoria (DDR4) LRDIMM(Reducción de carga)
256 GB (2666 MHz)
Componentes comunes en la placa madrePCH (Lewisburg-L) Intel ® C628*Interfaz SSL NingunaPuertos Ethernet que no pueden omitirse (2x) Intel X550Puerto Ethernet que puede omitirse (4x) X557 PHYControlador SAS Tarjeta SAS MezzanineBMC (IPMC) AST2500Dispositivo de arranque (SSD) 2 SATA III
M.2 2242 SSD de 64 GBDispositivo de almacenamiento de claves/SPI FLASH 1x ME, 64 MB; de imagen fija
2x 32M; permite volver a crear una imagenFuente de alimentación de energía 2 x PSU
(CA BEL POWER de 1600W)Ventiladores del sistema; 40W 6Puerto serie, puerto serie posterior, frontal (no funcional) 1x RJ45, RS232Puerto USB 3.0 (externo) 1Cable de alimentación de CA/Enchufe de la fuente dealimentación
C19/C20
Tarjeta portadora PCIe 1 de media altura única (O1A) 1 x M1A1 x M2A1 x M3A
Tarjeta portadora PCIe 2 de altura completa únicax1 O2Bx1 O3AA
1 x SuperCap
53
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Especificación SKU6
Tarjeta portadora PCIe 3 de media altura dualO2BO3A
Ninguna
SuperCap para tarjeta Mezz RMSP3AD160FTarjeta Mezz de IOC de 16 puertos NingunaTarjeta Mezz de ROC de 16 puertos 1Controlador RAID Intel(R)IntegratedRAIDModuleRMSP3AD160LCM NingunaTarjetas de opción predeterminadas (solo una de las siguientes se entrega como unidad de campo reemplazable)PE310G4BPI71-SR 1PE310G4BPI71-LR 1
54
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
Volver a instalar Symantec EDR en S550
Volver a instalar Symantec EDR en el appliance 550 desde un dispositivo USB oun DVDAntes de comenzar, asegúrese de que el host de Symantec esté en bastidor y el puerto serie esté conectado a unterminal serie. La conexión en serie es de 9600 baudios y 8 bits sin paridad.
Para realizar una instalación de DVD | Para realizar una instalación con un dispositivo USB
Para realizar una instalación de DVD
1. Obtenga una imagen ISO de Symantec.
2. Grabe la imagen en un DVD.
3. Coloque el DVD en la unidad de DVD.
4. Conecte la unidad de DVD en el puerto USB.
5. Inicie el dispositivo.
Para iniciar el dispositivo
6. Siga el asistente para la instalación.
Para seguir el instalador
Para realizar una instalación con un dispositivo USB7. Obtenga una imagen ISO de Symantec.
8. Cree un dispositivo USB de arranque.
• Para Linux:Haga clic en el siguiente vínculo para obtener más información sobre cómo crear un dispositivo USB de arranqueen Linux:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/installation_guide/sect-making-usb-media
• Para Mac:A. Enumere los dispositivos montados.Por ejemplo:List the mounted devices:
Last login: Thu Jul 5 09:13:15 on ttys001
M021204TKG3QD:Downloads john_doe$ diskutil list
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme 500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
2: Apple_CoreStorage SymMacSOE 499.3 GB disk0s2
3: Apple_Boot Recovery HD 650.0 MB disk0s3
/dev/disk1 (internal, virtual):
#: TYPE NAME SIZE IDENTIFIER
55
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
0: Apple_HFS SymMacSOE +499.0 GB disk1
Logical Volume on disk0s2
DDDDFDA9-6016-4FD7-8815-B4C1D7190788
Unlocked Encrypted
/dev/disk2 (disk image):
#: TYPE NAME SIZE IDENTIFIER
0: Apple_partition_scheme +24.2 MB disk2
1: Apple_partition_map 32.3 KB disk2s1
2: Apple_HFS Flash Player 24.2 MB disk2s2
/dev/disk3 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *2.0 TB disk3
1: EFI EFI 209.7 MB disk3s1
2: Apple_HFS BackupMcBackface 2.0 TB disk3s2
/dev/disk4 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: CDROM *15.9 GB disk4
En este ejemplo, el dispositivo USB es /dev/disk4.
B. Desmonte el dispositivo.Por ejemplo:M021204TKG3QD:Downloads john_doe$ diskutil unmountDisk /dev/disk4
Unmount of all volumes on disk4 was successful
C. Escriba la imagen ISO en el dispositivo USB.En este ejemplo, el dispositivo USB está en /dev/disk4.M021204TKG3QD:Downloads john_doe$ sudo dd if=./ATP-4.0.0-3.iso of
=/dev/disk4 bs=1m
Password:
2390+1 records in
2390+1 records out
2506612736 bytes transferred in 776.888341 secs (3226477 bytes/sec)
El proceso de escritura vuelve a montar el volumen.
D. Desmonte el volumen de modo que pueda eliminar el dispositivo.Por ejemplo:M021204TKG3QD:Downloads john_doe$ diskutil list
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIED
0: GUID_partition_scheme 500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
56
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
2: Apple_CoreStorage SymMacSOE 499.3 GB disk0s2
3: Apple_Boot Recovery HD 650.0 MB disk0s3
/dev/disk1 (internal, virtual):
#: TYPE NAME SIZE IDENTIFIER
0: Apple_HFS SymMacSOE +499.0 GB disk1
Logical Volume on disk0s2
DDDDFDA9-6016-4FD7-8815-B4C1D7190788
Unlocked Encrypted
/dev/disk2 (disk image):
#: TYPE NAME SIZE IDENTIFIER
0: Apple_partition_scheme +24.2 MB disk2
1: Apple_partition_map 32.3 KB disk2s1
2: Apple_HFS Flash Player 24.2 MB disk2s2
/dev/disk3 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *2.0 TB disk3
1: EFI EFI 209.7 MB disk3s1
2: Apple_HFS BackupMcBackface 2.0 TB disk3s2
/dev/disk4 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: CDROM *15.9 GB disk4
M021204TKG3QD:Downloads john_doe$ diskutil unmountDisk /dev/disk4
Unmount of all volumes on disk4 was successful
9. Conecte dispositivo USB en el puerto USB.
10. Inicie el dispositivo.
Para iniciar el dispositivo
11. Siga el instalador.
Para seguir el instalador
Para iniciar el dispositivo
Este procedimiento es el mismo para el DVD o el dispositivo USB.
57
Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para el
appliance S550
12. Presione CTRL-D al principio del BIOS. Esta tarea coloca el dispositivo USB primero en el orden de arranque y eldisco duro en segundo lugar.
13. Para cambiar del modo de cliente, escriba la contraseña manuok.
14. En el cuadro de diálogo de confirmación, escriba Y para indicar Sí.
El host se inicia desde el dispositivo y aparece el menú de GRUB.
Para seguir el instalador
Este procedimiento es el mismo para el DVD o el dispositivo USB.15. Seleccione la opción Probar este soporte e instalar ATP.
La instalación ocurre automáticamente y puede tardar hasta 30 minutos. El host se reinicia después de que lainstalación se completa. No apague el host hasta que aparezca la indicación de inicio de sesión.
16. Una vez completado el reinicio, inicie sesión como administrador y realice la secuencia de arranque.
58