Un componente de software unificado que se instala en los dispositivos protegidos (computadoras, laptops, servidores y estaciones de trabajo virtuales) que permite el monitoreo y el análisis continuos de los eventos del sistema, detecta los ataques en etapas tempranas y simplifica la detección de vulnerabilidades.
Agente de endpoint
Una tecnología que proporciona monitoreo y análisis continuos de los eventos del sistema en dispositivos endpoint, como laptops del personal, computadoras y servidores de la empresa y estaciones de trabajo virtuales
01
Descripción general
Capacidades clave del agente
02
¿Por qué utilizar agentes de host?
Los dispositivos de endpoint son un vector de ataque común
Los atacantes utilizan el phishing junto con vulnerabilidades de aplicaciones y sistemas operativos para iniciar los ataques. Detectar este tipo de eventos a tiempo, antes de que se propaguen por la red, es crítico para la ciberresiliencia de la organización.
Propagación de secuestro de datos, infostealers, wipers y troyanos de acceso remoto (RAT)
Los atacantes utilizan herramientas cada vez más sofisticadas diseñadas para eludir las defensas tradicionales basadas en host (como los antivirus y los sistemas EDR). Los métodos estáticos (por ejemplo, el análisis de la firma de archivos) ya no son suficientes. Los atacantes abusan de herramientas legítimas (PowerShell, bash) para ocultar sus rastros, mantenerse en la red y lograr sus objetivos.
Los equipos de seguridad y TI dependen de herramientas fragmentadas
Algunos sistemas requieren recopiladores de WinEventLog, otros necesitan AuditD y algunos exigen cuentas adicionales para la recopilación de datos. Esta fragmentación requiere tiempo y experiencia para su configuración, mantenimiento e integración con los sistemas de monitoreo.
Algunos dispositivos están fuera de la red o del dominio, fuera de la visibilidad de seguridad
Los dispositivos de los empleados que trabajan a distancia o que viajan, así como los dispositivos no administrados, operan fuera del alcance del departamento de TI y no envían datos a los sistemas SIEM ni a los escáneres de vulnerabilidades.
03
Agente de endpoint de Positive Technologies
Más que un simple sensor
Los agentes no solo recopilan datos de telemetría, sino que también operan de forma autónoma, utilizando módulos funcionales que se ejecutan directamente en los dispositivos. Realizan análisis estático y conductual, y responden a amenazas sin necesidad de un servidor de administración, red interna o acceso a Internet. Esta arquitectura protege los dispositivos remotos fuera del dominio y de las defensas perimetrales.
Configuración flexible
Las configuraciones de los módulos se definen en las políticas de dispositivo y de grupo. Es posible agregar o eliminar módulos, habilitarlos o deshabilitarlos, y seleccionar su funcionalidad:
- Modo de solo monitoreo (por ejemplo, para sistemas críticos o dispositivos ejecutivos)
- Carga reducida para hardware de bajo rendimiento
- Actualizaciones independientes de módulos sin necesidad de actualizar todo el producto
Amplia compatibilidad con sistemas operativos
El agente es compatible con Windows, Linux y macOS. Puede implementarse mediante la interfaz del servidor de administración o herramientas centralizadas (SCCM para Windows; Ansible, Puppet, Salt, Chef y Terraform para Linux; Jamf para macOS).
Módulos de entrega e instalación
Estos módulos implementan y configuran aplicaciones, además de administrar herramientas de monitoreo (incluidas Sysmon y auditd).
Módulos de recopilación
Estos módulos recopilan datos de eventos del dispositivo (incluso a nivel del núcleo del sistema operativo) y los envían a los módulos de detección y a MaxPatrol SIEM.
Módulos de detección
Estos módulos analizan eventos, detectan actividades maliciosas y registran eventos de seguridad. Utilizan motores de correlación y escaneo YARA para análisis estáticos y dinámicos. También pueden enviar archivos a PT Sandbox, y los resultados se sincronizan en todos los agentes con la misma política.
Módulos de respuesta
Estos módulos mitigan las amenazas mediante las siguientes acciones:
- Cuarentena o eliminación de archivos
- Finalización de procesos
- Aislamiento de nodos (desconexión total o parcial de la red)
- Bloqueo de direcciones IP
- Redirección de DNS a sinkhole
- Operaciones remotas de comandos y archivos
04
Agentes en productos de Positive Technologies
Póngase en contacto
Complete el formulario y nuestros especialistas se pongán en contacto con usted en breve.