MA: Configurar los proveedores de antivirus instalados

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

Puede comparar resultados de análisis de archivos de los proveedores de antivirus (AV) instalados con resultados de Community de la base de conocimientos de Malware Analysis. Mientras un análisis de Community analiza un archivo, Malware Analysis consulta una base de conocimientos de antivirus para determinar si la muestra ya se conoce como maliciosa. Si se sabe que el archivo es malicioso, NetWitness Suite lo marca para indicar si un proveedor de antivirus primario o uno secundario identificó la muestra. NetWitness Suite clasifica a los proveedores como primarios y secundarios para indicar el nivel de reputación que tienen en el sector, y los indicadores de riesgo tienen en cuenta la reputación para determinar el puntaje. Por ejemplo, la detección hecha exclusivamente por proveedores de antivirus secundarios puede tener un puntaje menor que la de los proveedores primarios.

Nota: Cuando se elige software de proveedor de antivirus para instalar en la red, se recomienda incluir por lo menos un proveedor de la lista de proveedores primarios de NetWitness Suite.

Puede identificar los proveedores de antivirus instalados en su red ante NetWitness Suite. NetWitness Suite compara los resultados del antivirus durante un análisis de Community con los resultados de los proveedores instalados que se seleccionaron en la pestaña Antivirus. Si se detecta una coincidencia, el archivo que se analiza se marca para indicar que el software antivirus primario o secundario instalado localmente detectó la muestra.

En el siguiente ejemplo se muestran los resultados de análisis de Community para un archivo que obtuvo un puntaje de 100. En Indicadores de riesgo, puede ver que los proveedores de antivirus enumerados marcaron el archivo en Community. En Resultados de proveedor de antivirus, NetWitness Suite indica si los proveedores de antivirus instalados en el ambiente marcaron el archivo como malicioso. Si los proveedores de antivirus instalados detectaron el virus, se muestra el nombre del malware. Si no lo detectaron, se muestra --No detectado-- junto al nombre del proveedor de antivirus. En Proveedores de antivirus no instalados, puede hacer clic en + para expandir la sección y ver si otros proveedores no instalados en el sistema detectaron el virus.

Identificar software antivirus instalado

Para identificar software antivirus instalado en su red:

  1. En el menú principal, seleccione ADMIN > Servicios.
  2. Seleccione un servicio Malware Analysis y, en la fila, elija > Ver > Configuración.
  3. En la vista Configuración del servicio, seleccione la pestaña Antivirus.

  4. Seleccione la casilla de verificación que se encuentra junto a cada proveedor de antivirus (primario u otro) cuyo software está instalado en la red.
  5. Para guardar los cambios, haga clic en Aplicar.
    Los Resultados de análisis de Community indicarán si el software marcó un evento.
  6. (Opcional) Si desea restablecer la lista de software antivirus instalado al valor predeterminado (ninguno), haga clic en Restablecer.
    Todas las selecciones se eliminan.
  7. Para guardar los cambios, haga clic en Aplicar.
You are here
Table of Contents > Configuración de Malware Analysis > Paso 5. Configurar los proveedores de antivirus instalados

Attachments

    Outcomes