Sistema de prevención de intrusiones basado en el host (HIPS)
Las modificaciones de la configuración del HIPS deben realizarse únicamente por un usuario experimentado. La configuración incorrecta de HIPS puede llevar a la inestabilidad del sistema. |
El Sistema de prevención de intrusiones basado en el host (HIPS) protege su sistema contra malware y actividades no deseadas que intentan perjudicar el equipo. El sistema HIPS utiliza el análisis avanzado de conducta combinado con las capacidades de detección del filtrado de red para monitorear los procesos activos, los archivos y las claves de registro. El HIPS es independiente de la protección del sistema de archivos en tiempo real y no es un firewall; solo monitorea los procesos activos en el sistema operativo.
La configuración de HIPS se puede encontrar en Configuración avanzada (F5) > Motor de detección > HIPS > Básico. El estado de HIPS (habilitado/deshabilitado) se muestra en la ventana principal del programa de ESET Endpoint Antivirus, en Configuración > Equipo.
Básico
Habilitar HIPS: HIPS se habilita de manera predeterminada en ESET Endpoint Antivirus. Al desactivar HIPS, se desactivan el resto de las características de HIPS, como Bloqueador de exploits.
Habilitar la autodefensa: ESET Endpoint Antivirusutiliza la tecnología incorporada de autodefensa como parte de HIPS para evitar que el software malicioso corrompa o deshabilite su protección antivirus y antispyware. La autodefensa protege al sistema crucial y los procesos de ESET, las claves de registro y los archivos de ser manipulados. El agente ESET Management se protege también cuando se instala.
Habilitar el servicio protegido: habilita la protección para ESET Service (ekrn.exe). Cuando está habilitado, el servicio se inicia como un proceso de Windows protegido para defender contra ataques de malware. Esta opción está disponible en Windows 8.1 y Windows 10.
Habilitar explorador de memoria avanzado: trabaja en conjunto con el Bloqueador de exploits para fortalecer la protección contra el malware diseñado para evadir la detección por los productos antimalware con el uso de ofuscación o cifrado. La exploración de memoria avanzada está habilitada en forma predeterminada. Lea más información sobre este tipo de protección en el glosario.
Habilitar bloqueador de exploits: está diseñado para fortalecer diferentes tipos de aplicaciones comúnmente explotadas como los navegadores web, los lectores de PDF, los clientes de correo electrónico y los componentes de MS Office. El bloqueador de exploits está habilitado en forma predeterminada. Lea más información sobre este tipo de protección en el glosario.
Inspección profunda del comportamiento
Habilitar inspección profunda del comportamiento: otra capa de protección que es parte de la función de HIPS. Esta extensión de HIPS analiza el comportamiento de todos los programas que se ejecutan en su equipo y le advierte si el comportamiento de los procesos es malicioso.
Las exclusiones de HIPS para la inspección profunda del comportamiento permiten excluir procesos de la exploración. Para asegurarse de que todos los objetos se exploren en busca de amenazas, recomendamos únicamente crear exclusiones cuando sea absolutamente necesario.
Escudo contra ransomware
Habilitar protección contra ransomware: es otra capa de protección que funciona como parte de la función HIPS. Debe tener habilitado el sistema de reputación de ESET LiveGrid® para que funcione la protección de ransomware. Lea más información sobre este tipo de protección.
Habilitar Intel® Threat Detection Technology – ayuda a detectar ataques de ransomware mediante el uso de la única telemetría de CPU Intel para aumentar la eficacia de detección, reducir las alertas de falso positivo y ampliar la visibilidad para capturar técnicas de evasión avanzadas. Consulte los procesadores compatibles.
Habilitar el modo de auditoría: todo lo que detecta la protección contra Ransomware no se bloquea automáticamente, sino que se registra con una advertencia de severidad y se envía a la consola de administración con el indicador "MODO DE AUDITORÍA". El administrador puede decidir excluir dicha detección para evitar una posterior detección, o mantenerla activa, lo que significa que una vez que finalice el modo de auditoría, esta se bloqueará o eliminará. La habilitación/deshabilitación del modo de auditoría también se registrará en ESET Endpoint Antivirus. Esta opción está disponible solo en el editor de configuración de la política de ESET PROTECT.
Configuración HIPS
El modo de filtrado se puede realizar en uno de los siguientes cuatro modos:
Descripción |
|
---|---|
Modo automático |
Las operaciones están habilitadas, excepto las que se encuentran bloqueadas por las reglas predefinidas que protegen su sistema. |
Modo inteligente |
Se notificará al usuario solo en caso de eventos muy sospechosos. |
Modo interactivo |
El programa le solicitará al usuario que confirme las operaciones. |
Modo basado en políticas |
Bloquea todas las operaciones que no están definidas por una regla específica que las permite. |
Modo de aprendizaje |
Las operaciones están habilitadas y se crea una regla luego de cada operación. Las reglas creadas en este modo se pueden ver en el editor de reglas HIPS, pero su prioridad es inferior a la de las reglas creadas manualmente o en el modo automático. Cuando selecciona el Modo de aprendizaje en el menú desplegable Modo de filtrado, la configuración del modo de aprendizaje finalizará cuando esté disponible. Seleccione el intervalo de tiempo durante el que desea activar el modo de aprendizaje; el tiempo máximo es de 14 días. Cuando el tiempo especificado haya pasado, se le solicitará que edite las reglas creadas por HIPS mientras estuvo en el modo de aprendizaje. También puede elegir un modo de filtrado diferente, o posponer la decisión y continuar utilizando el modo de aprendizaje. |
Modo configurado después del vencimiento del modo de aprendizaje: seleccione el modo de filtrado que se usará después del vencimiento del modo de aprendizaje. Después del vencimiento, la opción Preguntar al usuario requerirá privilegios administrativos para realizar un cambio en el modo de filtrado de HIPS.
El sistema HIPS monitorea los sucesos dentro del sistema operativo y reacciona consecuentemente en función de reglas similares a las que usa el firewall. Haga clic en Editar junto a Reglas para abrir el editor de reglas HIPS. En la ventana de reglas HIPS, puede seleccionar, agregar, editar o quitar reglas. Para más información sobre la creación de reglas y las operaciones de HIPS, consulte Cómo editar una regla de HIPS.