¿Cómo llega el MAR a sus definiciones de comportamiento?
Los comportamientos se asocian con las reglas de rastreo. Cuando una regla coincide, el comportamiento asociado se muestra como parte de la actividad y la posible amenaza en el área de trabajo.
Por ejemplo, si un proceso intenta escribir un valor en la clave HKLM\...\Run que coincide con una regla de rastreo asociada con el comportamiento de persistencia, se aplicará esta definición.
¿Las consultas de MAR pasadas desde ePolicy Orchestrator (ePO) al servidor de MAR mediante HTTPS (API) o DXL?
Las consultas pasadas desde ePO hasta el servidor de MAR utilizan HTTPS y la API REST.
¿El servidor de MAR tiene que ponerse en contacto directamente con Internet?
El servidor de MAR no necesita una conexión directa a Internet. Si DXL Broker está instalado en el mismo appliance y está configurado en modo puente, MAR necesita una conexión a Internet para enviar trazas a la nube.
¿Cuál es la gobernanza recomendada en torno a la cuenta de ePO Cloud? ¿Qué ocurre con los datos si la cuenta caduca o si el administrador de ePO Cloud abandona la empresa?
Las cuentas en la nube no caducan. McAfee empresa no eliminará la cuenta, por lo que puede seguir utilizando MAR sin problemas. Para protegerse contra la facturación de empleados, asegúrese de que el administrador crea inicios de sesión adicionales a través de Business Platform Services (BPS) para que la cuenta se pueda realizar.
MAR está instalado correctamente, pero el área de trabajo de Active Response no muestra los datos de rastreo a pesar de las amenazas conocidas, de alto riesgo/sospechoso/supervisadas en sistemas Endpoint. ¿Por qué se produce este problema?
Debe activar la extensión de DXL broker para proporcionar datos de seguimiento al área de trabajo MAR. Esta configuración debe estar activada como parte del proceso de instalación de MAR 2.x. No obstante, puede activar en cualquier momento.
- Abra la consola de ePO y vaya a Configuración del servidor.
- Activa Topología de DXL, Modifica.
- Seleccione su DXL Broker.
- Cerca de Extensión de Broker, seleccione la opción Proporciona datos de rastreo a la nube para el área de trabajo de MAR Option.
- Haga clic en Guardar.
