Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
656
Visitas
0
ÚTIL
0
Comentarios

Doc - Cisco Secure Endpoint de un Vistazo

Cisco Moderador
Community Manager
Community Manager

‎09-13-2023 10:20 PM - editado ‎09-14-2023 05:50 PM

Presentación del webinar Community Live

Con la colaboración de Uriel Montero, Uriel Islas y Javi Martínez.

Cisco Secure Endpoint ofrece protección de punto final en la nube y detección y respuesta avanzada de punto final “Endpoint Detection and Response” (EDR) en puntos de control de múltiples dominios. Aprenda las mejores prácticas y cómo resolver errores comunes para aprovechar al máximo Secure Endpoint de los ingenieros del Centro de Asistencia Técnica (TAC) de Cisco.

Descargue la Presentación Ver el Vidéo

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una nueva pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión

Lista de las Q&R del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas Q&A

Pregunta: Para em despliegue masivo a dispositivos Windows por GPO, existe una guía? - Pablo Q. (min.13)

Respuesta (Daniel B.): Hola Pablo, al no ser una función soportada por TAC no hay una guía oficial para hacerlo, sin embargo puedes usar los Command Line Switches para hacer estos deployments: https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/213690-amp-for-endpoint-command-line-switches.html 

Pregunta: Cómo se integra Secure Endpoint con Cisco Secure Workload vía cliente de VPN de cisco.. y qué valor agrega tener ambos en un ambiente? - Tomás C. (min.15)

Respuesta (Daniel B.): Hola Tomás, por ahora la integración entre Secure Endpoint y Cisco Secure Workload no está disponible, en el siguiente link podrás encontrar las integraciones entre Secure Endpoint y Productos de Seguirdad de Cisco y otros vendors de seguridad vía API: https://www.cisco.com/c/en/us/products/security/amp-for-endpoints/AMP-endpoints-partners-integrations.html 

Pregunta: El problema que he tenido es que AMP cuando hace conflicto con algunos programas, consume demasiada ram y la computadora de torna demasiada lenta, pero no hay ningún evento de cuál programa está haciendo conflicto para excluirlo. ¿Cómo darle solución? - Pablo Q. (min.18)

Respuesta (Daniel B.): Hola Pablo, durante la presentación explicaremos como evitar problemas de performance y consumo de recursos.

Pregunta: Con la herramienta, me permite bloquear o rastrear una direccion IP que me esté generando algún tipo de ataque o amenazas??? - Alvaro V. (min.18)

Respuesta (Uriel Tadeo M.): Que tal Alvaro, actualmente Secure Endpoint tiene la capacidad de bloquear por IPs o rangos CIDR, esto lo puedes hacer desde Outbreak Control > IP block list, espera futuras mejoras a esta funcionalidad.

Pregunta: AMP4 NETWORKS asume ciertas funciones de Stealthwatch? - Pablo Q. (min.24)

Respuesta (Uriel Tadeo M.): Que tal Pablo, en su esencia no. AMP For Networks es un Firewall mientras que Stealthwatch o Secure Network Analytics (SNA) es una herramienta que permite colectar y analizar los flujos (conversaciones) que ocurren dentro de la red, SNA no bloquea archivos o tráfico y el Firewall sí; sin embargo, puedes enviar los flujos de información del Firewall al colector de Stealthwatch.

Pregunta: AMP for networks requiere para su despliegue FPR entonces?, y si es así, desde qué serie puede ser considerado? - Victor H. (min.24)

Respuesta (Daniel B.): Hola Victor, AMP for Networks es una función que viene en los dispositivos Firepower, está inetgrada en todas las plataformas como parte de Malware Protection.

Pregunta: Hay manera de que los archivos con disposición unknown sean enviados a cuarentena o bloqueados? - Fernando L. (min.29)

Respuesta (Uriel Tadeo M.): Que tal Fernando, como comentó mi compañero Uriel Islas, si algún archivo está catalogado como Unknown, podemos configurar una Simple Custom Detection desde Outbreak Control > Simple Custom Detection y con esto aunque para la nube pública sea desconocido, localmente en tus políticas quedaría bloqueado.

Pregunta: Para las políticas modo Protect, sobre qué ruleset se basa para considerar qué sí y qué no enviar a cuarentena? - Víctor H. (min.29)

Respuesta (Daniel B.): Hola Víctor. En el caso de Behavioral Protections se hace basado en un set de firmas de comportamiento de actividad en procesos y archivos, lo que provocaría que un archivo se mande a cuarentena. Este set de firmas se descarga de la nube de Secure Enpoint en las actualizaciones del endpoint.

Pregunta: Los Unknown si no los bloquea y no los muestra, entonces como se pueden ver? - Diana F. (min.30)

Respuesta (Uriel Tadeo M.): Hola Diana, los archivos unknown de igual forma se registran en el Device Trajectory, entonces aunque no se haya metido en cuarentena, tenemos el registro en el portal de los archivos y procesos que están ejecutándose en el endpoint.

Pregunta: Para deshabilitar las nuevas versiones de AMP ya no es posible por el mismo App de Windows, creo que ahora se hace por cmd, tienen una guía sobre eso? y por qué ese cambio? - Pablo Q. (min.33)

Respuesta (Uriel Tadeo M.): Que tal Pablo, para las líneas de comando para parar el servicio, podemos usar esta documentación https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/213690-amp-for-endpoint-command-line-switches.html  Con respecto a la razón de porqué se movió a solo línea de comando, fue por seguridad; pues previamente cualquier usuario con acceso a servicios podía detener el servicio de manera gráfica, contrario a la opción de solo línea de comando, donde se puede limitar a solo administradores.

Pregunta: Gracias por las respuestas, en el portal dice que varias pcs les falta actualizar sus versiones de AMP, teniendo más de 500 conectores desplegados, ¿existe una forma de que la actualización de la versión sea automática? Tengo usuarios con más de 2 años, si bien las políticas sincronizan pero la versión no se actualiza y temo que en el futuro sí o sí tenga que actualizar la versión, para lo cual tendría que hacer el despliegue para los 500 nuevamente. - Pablo Q. (min.38)

Respuesta (Daniel B.): Hola Pablo, dentro de tu política asignada a cada uno de tus grupos de endpoints, tienes la opción de Product Updates, aquí puedes seleciónar la versión a la que quieres que este grupo de enpoints haga upgrade, incluso puedes seleccionar la fecha y hora para realizar el upgrade, cuando los endpoints contacten a la consola obtendrán la información del upgrade y lo realizarán en la fecha y hora seleccionada.

Pregunta: No se puede manejar sin MDM? porqué tengo poco equipos? - Jorge N. (min.40)

Respuesta (Uriel Tadeo M.): Hola Jorge, para equipos iOS por el momento no es posible sin el MDM pues usan un perfil particular, para dispositivos Android es posible bajarla desde el portal de Secure Endpoint.

Pregunta: Si tenemos mal la ubicación, qué problemas podrían surgir? - Diana F. (min.41)

Respuesta (Uriel Tadeo M.): Que tal Diana, si a ubicación te refieres a la región de tus endpoints, digamos tú estás ubicada en Norte América y el conector o política lo obtuviste desde una consola en Asia-Pacífico podrían darse inconvenientes de retardo en la comunicación.

Pregunta: Cómo sabemos con qué programa está haciendo conflicto para excluirlo? en mi caso tuve que ir programa por programa, pero demoró bastante... - Pablo Q. (min.47)

Respuesta (Javi M.): Desde Task Manager o Services podemos ver cuáles son los Programas más usados al momento del problema, de ahí podemos ver con qué producto está interactuando SE masivamente; sin embargo, otra manera es colectar los SE Debug logs cuando sucede el problema, estos logs nos indicarán los archivos más escaneados por SE, una vez identificados, podemos crear la exclusión correspondiente.
Comparto la guía para colectar los SE debug logs: https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/216035-collect-debug-logs-file-in-amp-for-endpo.html 

Pregunta: Entendiendo que normalmente la red OT no estaba siendo protegida, ¿cómo se puede implementar una solución EDR con Cisco para dispositivos de una red OT? - Marco M. (min.49)

Respuesta (Daniel B.): Hola Marco, con Cisco XDR tenemos la posibilidad de ver eventos de seguridad de redes OT, con inteligencia de productos de Cisco y otros Third-Party, unificando todos los eventos en un solo portal y podiendo aplicar acciones de remediación, automatizando y orquestando estas acciones tanto en IT, como en redes OT. Este link habla un poco de las soluciones que tenemos disponibles para este caso de uso: https://www.cisco.com/site/us/en/products/security/industrial-security/index.html 

Pregunta: Se debe excluir el .exe del programa o la carpeta donde está instalada? - Pablo Q. (min.50)

Respuesta (Javi M.): Para atacar el problema de raíz, en la mayoria de los casos se sugiere excluir el proceso (.exe); sin embargo, se sugiere hacer un análisis más profundo para poder recomendar la exclusión correcta, ya sea para la carpeta o Proceso.

Pregunta: Pasando los 30 días que es el máximo en el que se pueden configurar, se pierde el registro o se guarda en algún lugar? - Diana F. (min.65)

Respuesta (Daniel B.): Hola Diana, 30 días es el número máximo de días que tenemos para desplegar eventos del pasado en Secure Endpoint, después de este límite los eventos dejan de estar disponibles en la consola.

Pregunta: Los incidentes como los debo atender? - Mirella C. (min.76)

Respuesta (Daniel B.): Hola Mirella, ¿Podrías elaborar un poco más tu pregunta? ¿Nos podrías explicar a qué te refieres con cómo se deben de atender los incidentes? Gracias.

Pregunta: Me refiero a los incidentes de seguridad digital. Si me clasifica por tipo de incidente: ransomware, phishing, malware, etc. y luego me permite hacer un informe, o yo misma tengo que resolverlo en caso de que el equipo no pueda resolverlo. Y si puede explicar lo de mitreattack? - Mirella C. (min.81)

Respuesta (Daniel B.): Cisco XDR proporciona la siguiente información en cada incidente: Assets afectados (hosts, servers) que pueden estar comprometidos, observables y su disposición (sha256, IPs, dominios, correos electrónicos,etc), indicadores de compromiso, una gráfica de correlación de cómo se relacionan los assets con los observables con el tiempo en el que fueron observados, un tab con todas las detecciones de los productos integrados en relación a los observables, una descripción del evento de seguridad.
Sumado a la clasificación de MITRE: MITRE ATT&CK es una abreviatura de MITRE Adversarial Tactics, Techniques, and Common Knowledge. El marco MITRE ATT&CK es un repositorio curado que incluye matrices que proporcionan un modelo para comportamientos de ciberataques.
Con toda esta información nosotros le damos el poder a los administradores de SOC o analistas de seguridad, la opción de aplicar acciones de remediación sobre todo lo presentado en el incidente.
Cabe recalcar que esto puede ser automatizado usando XDR AUtomate (antes llamado SecureX Orchestration).

Pregunta: La herramienta me permite hacer reportes sobre amenazas y vulnerabilidades? - Mirella C. (min.83)

Respuesta (Javi M.): En el portal se puede observar toda la actividad de los Endpoints de manera gráfica, así como de manera detallada el evento por cada detección, con base en ello, se puede obtener información específica filtrando por dispositivos, detección, integración, vulnerabilidad, etc. con esta información específica, el Administrador del portal puede extraerla y crear algún reporte manualmente para fines internos.

Pregunta: Habrá alguna lámina o ppt donde de manera concisa se puedan mostrar el uso y aplicaciones de las distintas soluciones de seguridad de Cisco (Cisco AMP, Cisco Secure Endpoint, Cisco Duo, Cisco Secure Client, Cisco Umbrella) y saber si cada uno cuenta con un Dashboard independiente, o si están integrados de alguna forma? - Marco M. (min.96)

Respuesta (Daniel B.): Aquí puedes ver todos los productos de seguridad disponibles: https://www.cisco.com/c/en/us/products/security/product-listing.html 

Pregunta: Para qué están los otros Assets entonces? - Diana F. (min.97)

Respuesta (Daniel B.): Hola Diana, Assets te porporciona la opción de ver los hosts, no solo de Secure Endpoint, sino de otros productos de Cisco como Meraki, Umbrella y productos de otros vendors como CrowdStrike, SentinelOne, Microsoft Defender, etc.

Pregunta: Cuáles son las herramientas Cisco (Adicionales al SD-WAN de Cisco) que ofrecen para una solución SASE? - Marco M. (min.99)

Respuesta (Daniel B.): Los otros productos para SASE son Cisco+ Secure Connect, Cisco Secure Access y Cisco Umbrella: https://www.cisco.com/c/en/us/products/security/product-listing.html  (SASE está fuera del scope de este webinar).

Nuestros expertos

umontero.jpgUriel Tadeo Montero se unió a Cisco hace cinco años. Además, estuvo seis meses en el programa de incubadoras, donde fue uno de los primeros ocho ingenieros en pertenecer a AMP México (ahora conocida como Advanced Threat Solutions (ATS)). Uriel pasó dos años en ATS, posteriormente un año como parte del equipo SNA, y regresó al equipo ATS como Team Captain.

caislas.jpgUriel Islas se unió a Cisco en 2019, donde comenzó su carrera con el equipo de ATS México. Luego de tres años trabajando en el equipo de TAC, pasó al equipo de SSPT, aprovechando la oportunidad de trabajar con clientes en un amplio portafolio de productos de Seguridad en la Nube, y así poder seguir aprendiendo de ello durante este tiempo

 

jesusm2.jpgJavi Martínez se unió a Cisco en 2018. Comenzó su trayectoria en Cisco en el programa Cisco Apprenticeship, luego pasó al programa Cisco Incubator y finalmente se unió al equipo TAC con ATS. Actualmente es Ingeniero de Escalamiento (Escalation Engineer) para el equipo TAC en ATS West.

 
Para obtener más información, visite los foros de discusión de Seguridad en la sección de Discusiones Seguridad.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Vista previa de archivo
4085 KB
0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de Seguridad Blogs de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents