Resolver alertas de PUA

Puede hacer lo siguiente para resolver las alertas de PUA.

Utilizamos alertas para indicarle cuándo debe tomar medidas o si necesita investigar la detección de una aplicación potencialmente no deseada (PUA). También le comunicamos si hemos intentado limpiar la PUA. Lo indicamos en la página de detalles del dispositivo. Consulte Dispositivos.

También podemos generar un caso de amenaza. Esto proporciona más información sobre la PUA detectada. Consulte Casos de amenazas.

Comprobar si la PUA es un falso positivo

A veces la detección de malware puede ser incorrecta. Por ejemplo, la detección de Deep Learning (nombre de detección: ML/PE-A) utiliza Machine Learning para identificar malware desconocido. Aunque es muy eficaz, a veces puede identificar aplicaciones legítimas como malware.

Si la detección es incorrecta, puede permitir la aplicación o añadir una exclusión.

Si la detección es correcta, debe limpiar la aplicación.

Si tiene dudas sobre si la aplicación es maliciosa o una PUA, debe investigar la alerta. A continuación, puede permitir o limpiar la aplicación según corresponda.

Gestionar un falso positivo

Si cree que la detección es incorrecta, puede permitir la aplicación o añadir una exclusión.

Aviso Tenga cuidado cuando permita aplicaciones o añada una exclusión. Esto puede reducir su protección.

Por ejemplo, si excluye un directorio y después el malware también se ejecuta desde esa ubicación, el malware no se bloqueará.

Para gestionar un falso positivo, haga lo siguiente:

  • Si desea permitir una aplicación, haga lo siguiente:
    1. Vaya a Descripción general y haga clic en Dispositivos.
    2. Vaya a la página Ordenadores o Servidores, en función de dónde hayamos detectado la aplicación.
    3. Localice el dispositivo donde ha tenido lugar la detección y consulte los detalles.
    4. En la ficha Eventos, busque el evento de detección y haga clic en Detalles.
    5. En el cuadro de diálogo Detalles el evento, diríjase a Permitir esta aplicación.
    6. Elija cómo quiere permitir la aplicación.
      • Certificado: Lo recomendamos. También autoriza otras aplicaciones con el mismo certificado.
      • SHA-256: Esta opción autoriza esa versión en concreto de la aplicación. Sin embargo, si actualiza la aplicación, podríamos volver a detectarla.
      • Ruta: Esto permite la aplicación si está instalada en esta ubicación. Puede usar variables si la aplicación está instalada en ubicaciones distintas en equipos distintos.
    7. Haga clic en Autorizar.

    Para obtener más información sobre cómo permitir aplicaciones, consulte Aplicaciones autorizadas.

  • Si desea añadir una exclusión, recomendamos que utilice exclusiones basadas en políticas. Puede dirigir sus exclusiones y hacerlas tan específicas como sea posible. Para añadir una exclusión, haga lo siguiente:
    1. Para las estaciones de trabajo, vaya a Endpoint Protection > Políticas y configure una exclusión.
    2. Para servidores, vaya a Server Protection > Políticas y configure una exclusión.
  • En las estaciones de trabajo, puede permitir una aplicación desde la página Alertas. Para ello, haga lo siguiente:
    1. Vaya a Descripción general > Alertas.
    2. Busque la alerta de PUA.
    3. Haga clic en Autorizar aplicación no deseada.
      Aviso Esto autoriza que la PUA se ejecute en todos los ordenadores. Se recomienda permitir una aplicación que utilice su certificado o SHA-256.

Ahora puede resolver la alerta.

Limpiar una PUA

Si cree que la detección es correcta, puede limpiar la aplicación.

Para ello, haga lo siguiente:

  • En las estaciones de trabajo, puede eliminar una PUA desde la página Alertas. Para ello, haga lo siguiente:
    1. Vaya a Descripción general > Alertas.
    2. Haga clic en Limpiar aplicación no deseada.

    Esta acción podría no estar disponible si hemos detectado la PUA en un recurso compartido de red. La razón es que el agente de Endpoint Protection no tiene los derechos suficientes para limpiar archivos en esa ubicación.

  • Si no puede limpiar la PUA desde la página Alertas, haga lo siguiente:
    1. Elimine la aplicación, los procesos asociados y las claves del registro.

      Puede que le resulte útil investigar la alerta, ya que puede obtener más información sobre los procesos asociados u otros archivos sospechosos.

Investigar una alerta

Es posible que la alerta no le proporcione toda la información que necesita acerca de una PUA detectada. Debe revisar toda la información que pueda sobre una PUA detectada si tiene dudas de si es maliciosa o no deseada.

Para ello, haga lo siguiente:

  1. Compruebe si hay un caso de amenaza. En Sophos Central, vaya a Descripción general y haga clic en Centro de análisis de amenazas.
  2. Busque un caso de amenaza asociado con la PUA detectada.

    Si hay un caso de amenaza, muestra los detalles de la PUA detectada. Muestra cualquier actividad que ha realizado y si hay otros archivos o procesos sospechosos que investigar.

  3. Si no hay ningún caso de amenaza, cree uno.
  4. Opcional Si procede, póngase en contacto con el usuario para averiguar qué sucedió en el momento en que se produjo la infección. Por ejemplo, ¿hizo clic en un enlace de un correo electrónico o conectó un dispositivo de memoria extraíble?
  5. Investigue el caso de amenaza y siga los pasos que sugerimos para resolver el problema.

    Para obtener ayuda sobre la investigación de amenazas mediante casos de amenazas, consulte Página de análisis de los casos de amenazas.

  6. Si desea permitir la aplicación, siga los pasos descritos en Gestionar un falso positivo.
  7. Si desea eliminar la aplicación, siga los pasos de Limpiar una PUA.

Ahora puede resolver la alerta.

Resolver una alerta

Cuando haya permitido o eliminado la aplicación, puede resolver la alerta. Para ello, haga lo siguiente:

  1. Vaya a Descripción general > Alertas.
  2. Vaya a la alerta.
  3. Haga clic en Marcar como resuelto.