search

Reglas de exclusión con un EDR

Gestionar los flujos de aplicaciones mediante reglas de exclusión es un enfoque específico de las soluciones antivirus tradicionales, pero no se aplica a un EDR como CrowdStrike o.

  1. SentinelOne

  2. Diferencia en el funcionamiento entre antivirus y EDR

  3. Prevención inteligente y gestión reactiva de exclusiones

  4. No se deben definir exclusiones por adelantado

hashtag
Conclusión

  • 1. Diferencia en el funcionamiento entre antivirus y EDR Antivirus:

    • escanea de forma proactiva todos los archivos inactivos en el sistema (ejecutados o no).

  • Esto genera un gran volumen de escaneos y requiere numerosas exclusiones para evitar falsos positivos en archivos inactivos. EDR (CrowdStrike, SentinelOne):

    • se centra solo en los archivos que se ejecutan realmente y en los comportamientos dinámicos del sistema (procesos, conexiones, acciones de usuario, etc.).

    • No se realiza un escaneado continuo de todo el disco

circle-info

Los archivos inactivos no se analizan (excepto durante escaneos manuales) ⇒ En la práctica, dado que un EDR analiza comportamientos sospechosos en lugar de firmas

(que es lo que hace un antivirus), excluir una carpeta del análisis resulta innecesario. ⚠️ Por el contrario, esto tendría un efecto negativo:

hashtag
si ocurriera un comportamiento sospechoso en esa carpeta, el EDR no podría detectarlo. Dicho esto, esto sigue siendo técnicamente posible si la necesidad es validada por nuestro equipo SOC.

2. Prevención inteligente y gestión reactiva de exclusiones

  • CrowdStrike integra un conjunto de mecanismos preventivos para limitar los falsos positivos sin intervención manual:

  • Las listas de exclusión preconfiguradas se aplican automáticamente durante el despliegue

    • En caso de una detección sospechosa que involucre una aplicación empresarial, el programa es:

    • Bloqueado temporalmente

Luego analizado por nuestro SOC antes de tomar cualquier acción definitiva ❗ Para evitar posibles interrupciones indeseadas del negocio, el aislamiento completo se realizasolo manualmente

hashtag
, ya sea tras el análisis de nuestro equipo SOC o por usted.

3. No se deben definir exclusiones por adelantado

  • Intentar anticipar exclusiones antes de que ocurra cualquier detección representa un riesgo importante:

  • Equivale a excluir de forma preventiva comportamientos potencialmente maliciosos simplemente porque están asociados a una aplicación empresarial conocida Resultado:

corre el riesgo de neutralizar las capacidades de detección del EDR, permitiendo que ciertos ataques pasen desapercibidos. 👉 EnStoïk , las exclusiones se gestionansolo en respuesta a una detección real

hashtag
, basándose en el análisis del SOC.

4. Conclusión Las exclusiones en un EDR son mucho menos numerosas y se aplicansolo cuando realmente ha ocurrido un evento de bloqueo

. No es ni necesario ni aconsejable añadir reglas de exclusión “preventivas” como se haría con un antivirus tradicional. Ejemplo concreto: Una de nuestras clientes (un actor nacional del comercio minorista) tenía más de 3.000 estaciones de trabajo y varios miles de exclusiones en su solución antivirus anterior. Una vez cambiaron a CrowdStrike: no se requirieron exclusiones.

AnteriorConfiguración EDR: MS DefenderSiguiente¿Necesito desinstalar el antivirus antes de la configuración del EDR?

Última actualización

¿Te fue útil?