Preguntas frecuentes sobre Reputación de archivos de Global Threat Intelligence
Última modificación: 03/02/2023
Descargo de responsabilidad
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.
Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".
¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?
En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Preguntas frecuentes sobre Reputación de archivos de Global Threat Intelligence
Artículos técnicos ID:
KB53735
Última modificación: 03/02/2023 Entorno
Reputación de archivos de Global Threat Intelligence (GTI)
Resumen
GTI, anteriormente conocido como Artemis, es un servicio de reputación completo, en tiempo real y basado en la nube introducido en 2008. Está completamente integrado en nuestros productos y les permite bloquear cyberthreats de forma rápida en todos los vectores (archivos, Web, mensajes y red). Este artículo responde a algunas preguntas comunes sobre la Reputación de archivos de GTI. Contenido Haga clic para expandir la sección que desee ver: La reputación de archivos de GTI le proporciona protección en tiempo real y siempre activa que protege y protege frente a las amenazas emergentes. La reputación de archivos de GTI le permite utilizar la inteligencia de amenazas que nuestro centro de investigación avanzado recopila para evitar daños y robos de datos incluso antes de que haya disponible una actualización de firma. Esta función hace que los endpoints sean más inteligentes y más seguros. La tecnología de reputación de archivos de GTI amplía las capacidades de protección de nuestros productos. Lo hace proporcionando acceso a una base de datos en la nube online. La base de datos contiene detalles de clasificación de archivos para determinar si un archivo es malicioso. Dado que la base de datos de clasificaciones de archivos maliciosos es amplia y cambia con frecuencia, la reputación de archivos de GTI consulta los servidores online GTI Cloud sobre los archivos potencialmente sospechosos. Lo hace para lograr y mantener los niveles de seguridad más altos. ¿Cómo funciona Reputación de archivos de GTI? La reputación de archivos de GTI proporciona la detección de malware más actualizada para varios productos antivirus basados en Windows. La reputación de archivos de GTI busca programas sospechosos, archivos de formato de documento portátil (PDF) y Android paquete de aplicación (. ARCHIVO apk) archivos que están activos en los endpoints que ejecutan nuestros productos. Estos productos incluyen Endpoint Security (ENS), VirusScan Enterprise (VSE) y SaaS Endpoint Protection (anteriormente conocido como Total Protection Service). En el caso de los archivos sospechosos que no activan los archivos DAT de firma existentes, GTI envía una solicitud DNS a un servidor de base de datos central. Nuestro centro de investigación avanzado aloja el servidor. Este servidor se actualiza continuamente cuando se encuentra nuevo malware. Cuando GTI Cloud en nuestro centro de investigación avanzada recibe la solicitud del Endpoint reputación de archivos de GTI activado, determina si este programa es sospechoso y responde adecuadamente. ¿Por qué debo estar conectado a Internet para utilizar Reputación de archivos de GTI? La reputación de archivos de GTI accede a una base de datos principal online para determinar si un archivo es sospechoso o no. Dado que nuestra base de datos de archivos sospechosos es amplia y cambia con frecuencia, no se le envía de antemano. La tecnología de Reputación de archivos de GTI debe comprobar estos archivos sospechosos en la instancia en línea de GTI Cloud para lograr y mantener el máximo nivel de seguridad. ¿Reputación de archivos de GTI utiliza mucho ancho de banda? La reputación de archivos de GTI ocupa un mínimo de ancho de banda. Se activa, solo si los archivos DAT existentes no detectan ninguna amenaza en el programa, PDF o .APK se analizan. La determinación de cuáles son los archivos sospechosos está optimizada con esmero para que solo los archivos verdaderamente sospechosos generen tráfico de red. Si la configuración de sensibilidad se establece en Muy baja o Baja, suele darse un promedio de entre 10 y 15 consultas por día y equipo. Si la configuración de sensibilidad se establece en Media, Alta o Muy alta, suele darse un promedio de entre 20 y 25 consultas por día y equipo. El número de consultas depende del tipo de análisis (análisis en tiempo real o análisis bajo demanda) y de cuántos archivos se están analizando. ¿Si GTI Cloud no está disponible, sigo estando protegido? Si su producto gestionado por la empresa no puede ponerse en contacto con la nube de Advanced Research Center GTI, los productos antimalware solo utilizan la copia local de los archivos DAT para la detección. Cuando la nube de GTI no está disponible, su protección no se reduce a niveles por debajo del nivel de protección de los archivos DAT estándar. Volver al principio Un archivo sospechoso es cualquier ejecutable de programa, PDF o .APK archivo que tenga características comunes a los archivos maliciosos. En el caso de los archivos ejecutables, GTI busca ciertos identificadores dentro del ejecutable para determinar si el programa tiene características concretas normalmente asociadas con malware; por ejemplo, si el archivo está empaquetado. Normalmente, menos del 1% de archivos ejecutables de programas limpios o archivos PDF cumplen los criterios sospechosos. Esto implica que la mayoría de los archivos no hacen que su producto con GTI activado inicie una consulta. Otros archivos de documentos, como los documentos de Microsoft Word, no se ven afectados porque GTI solo se centra en documentos PDF potencialmente maliciosos. ¿Qué tipos de archivos se analizan? GTI analiza los ejecutables, los documentos PDF y .APK los archivos. Reputación de archivos de GTI se solía utilizar para analizar archivos ejecutables maliciosos. Sin embargo, con el crecimiento continuo de malware basados en PDF y archivo APK, hemos ampliado las capacidades de nuestra tecnología en la nube a fin de lograr una mejor protección en este espacio de amenazas. La reputación de archivos de GTI debe estar configurada como mínimo de sensibilidad media para realizar búsquedas de reputación en archivos PDF o archivo APK. ¿Los archivos de datos pueden provocar que se envíe una consulta de Reputación de archivos de GTI? No es posible que los documentos u otros archivos de datos hagan que se envíe una consulta de reputación de archivos de GTI; por ejemplo, Microsoft Word documentos que contienen datos derivados del usuario. Ninguna de las muestras se nos enviarán automáticamente. Los archivos que se pueden consultar son los siguientes:
En lugar de enviar el archivo completo, la reputación de archivos GTI envía solo una huella digital, que normalmente es inferior a 40 bytes de información. Esta cantidad de información es lo mínimo necesario para determinar la naturaleza del archivo. De forma predeterminada, sin optar por compartir información sobre amenazas con nosotros, el paquete de consulta de los productos con la reputación de archivos de GTI contiene lo siguiente:
¿Me protege la reputación de archivos de GTI solo de malware? ¿O la reputación de archivos de GTI incluye protección contra programas potencialmente no deseados (PUP) y spam? Actualmente se ofrece protección contra malware y PUP. Para protegerse contra spam, utilice un producto antispam o un complemento. ¿Cuánto mejora mi malware detección con la reputación de archivos de GTI? Todas las nuevas amenazas que encuentra nuestro centro de investigación avanzada se agregan inmediatamente a la base de datos de GTI. Están disponibles para que los endpoints con GTI-Enabled ofrezcan una capacidad casi inmediata para protegerle de amenazas nuevas y emergentes. Esta protección se pone a su disposición antes de que la firma de la nueva amenaza se incluya en los archivos DAT de liberación regular. ¿Cómo activar la reputación de archivos de GTI para informar de archivos sospechosos? Se recomienda establecer la configuración de sensibilidad como media en el producto. Para obtener información sobre cómo activar la reputación de archivos GTI, consulte KB70130-How to activar Global Threat Intelligence en nuestros productos. Volver al principio GTI ofrece protección fuera de los procesos existentes. Para obtener más información sobre cómo activar GTI en su producto, consulte KB70130-How to activar Global Threat Intelligence en nuestros productos. Los datos que se envían nunca incluyen ninguna parte de los archivos analizados, por lo que no existe ninguna posibilidad de fuga de información. Las búsquedas solo se realizan en archivos sospechosos y consisten en una huella digital de 32 bytes que se genera y envía a GTI Cloud. Si se determina que la huella es un archivo malicioso, se proporciona una respuesta. NOTAS:
Solo se conservan registros anónimos de las consultas de los clientes. Utilizamos técnicas de minería de datos para correlacionar tendencias globales, como la ubicación del mundo desde la que se originan las consultas. También, el vector de distribución utilizado (por ejemplo, web o correo electrónico). Utilizamos estos datos de prevalencia para identificar nuevas tendencias en el panorama de amenazas y para proporcionar una mejor protección frente a las nuevas amenazas a nuestros clientes. Nota: Los registros de reputación de archivos de GTI no contienen información sobre equipos o usuarios individuales, y es imposible utilizar esa información para derivar estos datos. En un futuro, la tecnología de Reputación de archivos de GTI podría enviar periódicamente un número único y anónimo para informarnos de que el software funciona correctamente en usuarios individuales. Este número nos ayuda a conocer el número de personas que utilizan la reputación de archivos de GTI y en qué productos se ha activado. La información está pensada para ayudarnos a planificar los recursos necesarios para continuar proporcionando una detección de calidad en tiempo real con la reputación de archivos de GTI. Este método es similar a las cookies que se utilizan hoy en muchos sitios web y que cumple nuestra política de privacidad. Para obtener más información, consulte la Directiva de privacidad. ¿Cómo se envían las consultas de Reputación de archivos de GTI? Las consultas de reputación de archivos de GTI se envían en texto no cifrado, con la autenticación que se agrega según corresponda. Consulta de ejemplo: Toda la información que nos envía la reputación de archivos GTI es anónima; no contiene información sobre el usuario o el equipo. Además, dado que la infraestructura de DNS se utiliza para transportar la consulta, es imposible identificar la dirección IP del equipo de origen en la comunicación de reputación de archivos de GTI. La reputación de archivos de GTI permite a los endpoints proteger contra malware específicos cuando nuestro centro de investigación avanzada determina que una muestra es sospechosa. La reputación de archivos de GTI no proporciona protección para las clases de malware, sino solo para muestras concretas que han activado una respuesta. ¿Qué ven los usuarios o administradores cuando Active Protection detecta malware? Las detecciones de reputación de archivos de GTI se muestran en el producto de la misma forma que las detecciones genéricas. El programa o el archivo binario detectados se eliminarán o pondrán en cuarentena en función de la configuración del producto. ¿Cuáles son los riesgos de usar Active Protection? ¿Puede generar falsos positivos? Los productos antimalware suelen generar falsos positivos. Nuestras pruebas han demostrado que la reputación de archivos de GTI tiene una tasa de falsos positivos más baja que los archivos DAT existentes. Reputación de archivos de GTI detecta instancias específicas de malware, no clases de malware, lo que reduce significativamente la probabilidad de generar falsos positivos en las detecciones. Descargo de responsabilidadEl contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicadosIdiomas:Este artículo se encuentra disponible en los siguientes idiomas: |
|