Saltar al contenido

Resolver alertas de PUA

Puede hacer lo siguiente para resolver las alertas de PUA.

Utilizamos alertas para indicarle cuándo debe tomar medidas o si necesita investigar la detección de una aplicación potencialmente no deseada (PUA). También le comunicamos si hemos intentado limpiar la PUA. Lo indicamos en la página de detalles del dispositivo. Consulte Dispositivos.

También podemos generar un gráfico de amenazas. Esto proporciona más información sobre la PUA detectada. Consulte Gráficos de amenazas.

Comprobar si la PUA es un falso positivo

A veces la detección de malware puede ser incorrecta. Por ejemplo, la detección de Deep Learning (nombre de detección: ML/PE-A) utiliza Machine Learning para identificar malware desconocido. Aunque es muy eficaz, a veces puede identificar aplicaciones legítimas como malware.

Si la detección es incorrecta, puede permitir la aplicación o añadir una exclusión.

Si la detección es correcta, debe limpiar la aplicación.

Si tiene dudas sobre si la aplicación es maliciosa o una PUA, debe investigar la alerta. A continuación, puede permitir o limpiar la aplicación según corresponda.

Investigar una alerta

Es posible que la alerta no le proporcione toda la información que necesita acerca de una PUA detectada. Revise toda la información que pueda sobre una PUA detectada si tiene dudas de si es maliciosa o no deseada.

Para ello, haga lo siguiente:

  1. Compruebe si hay un gráfico de amenazas. En Sophos Central, vaya al Centro de análisis de amenazas > Gráfico de amenazas.
  2. Busque un gráfico de amenazas asociado con la PUA detectada.

    Si hay un gráfico de amenazas, muestra los detalles de la PUA detectada. Muestra cualquier actividad que ha realizado y si hay otros archivos o procesos sospechosos que investigar.

    1. Si no hay ningún gráfico de amenazas, cree uno.
  3. Opcional: Si procede, póngase en contacto con el usuario para averiguar qué sucedió en el momento en que se produjo la infección. Por ejemplo, ¿hizo clic en un enlace de un correo electrónico o conectó una unidad USB?

  4. Investigue el gráfico de amenazas y siga los pasos que sugerimos para resolver el problema.

    Para obtener ayuda sobre la investigación de amenazas mediante gráficos de amenazas, consulte Análisis de gráficos de amenazas.

  5. Cuando haya completado la investigación, elija una de las siguientes opciones:

    • Si cree que la detección es incorrecta, permita la aplicación o añada una exclusión. Consulte Gestionar un falso positivo.
    • Si cree que la detección es correcta, limpie la aplicación. Consulte Limpiar una PUA.
  6. Resuelva la alerta. Consulte Resolver una alerta

Gestionar un falso positivo

Si cree que la detección es incorrecta, puede permitir la aplicación o añadir una exclusión.

Aviso

Tenga cuidado cuando permita aplicaciones o añada una exclusión. Esto puede reducir su protección.

Por ejemplo, si excluye un directorio y después el malware también se ejecuta desde esa ubicación, el malware no se bloqueará.

Para gestionar un falso positivo, haga lo siguiente:

  • Si desea permitir una aplicación, haga lo siguiente:

    1. Vaya a Dispositivos > Ordenadores o Servidores, en función de dónde hayamos detectado la aplicación.
    2. Localice el dispositivo donde ha tenido lugar la detección y consulte los detalles.
    3. En la ficha Eventos, busque el evento de detección y haga clic en Detalles.
    4. En el cuadro de diálogo Detalles el evento, diríjase a Permitir esta aplicación.
    5. Elija cómo quiere permitir la aplicación.

      • Certificado (solo Windows): Lo recomendamos. También autoriza otras aplicaciones con el mismo certificado.
      • SHA-256 (Windows, Linux): Permite esta versión de la aplicación. Sin embargo, si actualiza la aplicación, podríamos volver a detectarla.
      • Ruta (Windows): Permite la aplicación si está instalada en esta ubicación. Puede usar variables si la aplicación está instalada en ubicaciones distintas en equipos distintos.
      • Ruta (Linux): Esto autoriza la aplicación siempre y cuando esté instalada en la ruta (ubicación) mostrada. Puede editar la ruta (ahora o más adelante) y usar variables si la aplicación está instalada en ubicaciones distintas en equipos distintos. Debe usar barras diagonales.

        Nota

        También puede usar las siguientes opciones para excluir una ruta de archivo del escaneado en Linux:

    6. Haga clic en Autorizar.

    Para obtener más información sobre cómo permitir aplicaciones, consulte Aplicaciones permitidas.

  • Si desea añadir una exclusión, recomendamos que utilice exclusiones basadas en políticas. Puede dirigir sus exclusiones y hacerlas tan específicas como sea posible. Para añadir una exclusión, haga lo siguiente:

    1. Para las estaciones de trabajo, vaya a Mis productos > Endpoint > Políticas y configure una exclusión.

      Consulte Política de protección contra amenazas.

    2. Para servidores, vaya a Mis productos > Server > Políticas y configure una exclusión.

      Consulte Política de protección contra amenazas para servidores.

  • Para las estaciones de trabajo, puede permitir una aplicación desde la página Alertas. Para ello, haga lo siguiente:

    1. Vaya a Alertas.
    2. Busque la alerta de PUA.
    3. Haga clic en Autorizar aplicación no deseada.

      Aviso

      Esto autoriza que la PUA se ejecute en todos los ordenadores. Se recomienda permitir una aplicación que utilice su certificado o SHA-256.

Ahora puede resolver la alerta.

Limpiar una PUA

Si cree que la detección es correcta, puede limpiar la aplicación. Es posible que le resulte útil investigar primero la PUA. Esto puede ayudarle a encontrar más información acerca de los procesos asociados u otros archivos sospechosos.

Para limpiar una PUA, haga lo siguiente:

  1. Vaya al equipo.
  2. Elimine la aplicación, los procesos asociados y las claves del registro.

Resolver una alerta

Cuando haya permitido o eliminado la aplicación, puede resolver la alerta. Para ello, haga lo siguiente:

  1. Vaya a Alertas.
  2. Vaya a la alerta.
  3. Haga clic en Marcar como resuelto.