Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=detection-stop-exploit

Dejar de detectar un exploit

Puede excluir una aplicación de la detección de exploits, ya sea en respuesta a una detección o antes de cualquier detección.

Aviso

Considere la opción detenidamente antes de añadir exclusiones, ya que reduce la protección.

Puede establecer exclusiones para un evento específico, un exploit específico o todos los exploits asociados a una aplicación.

Si desea excluir aplicaciones de la protección contra vulnerabilidades para algunos usuarios o dispositivos puede hacerlo mediante una política de protección contra amenazas para estaciones de trabajo; consulte Política de protección contra amenazas.

Si desea excluir aplicaciones de la protección contra vulnerabilidades para algunos servidores puede hacerlo mediante una política de protección contra amenazas para servidores; consulte Política de protección contra amenazas para servidores.

Puesto que añadir exclusiones reduce su protección, le recomendamos utilizar políticas para usuarios y dispositivos en los que la exclusión sea necesaria en lugar de utilizar las opciones de exclusión que se aplican a todos sus usuarios y sus dispositivos.

Dejar de detectar un exploit detectado (mediante la lista de eventos)

Si se detecta un exploit en una aplicación pero tiene la seguridad de que la detección es incorrecta, puede evitar que vuelva a producirse usando las opciones disponibles en la lista de eventos.

Esto se aplica a todos sus usuarios y ordenadores.

Puesto que añadir exclusiones reduce su protección, le recomendamos utilizar políticas para usuarios y dispositivos en los que la exclusión sea necesaria en lugar de utilizar esta opción global.

Para dejar de detectar un exploit, haga lo siguiente:

  1. Vaya a Dispositivos > Ordenadores o Servidores, en función de dónde se haya detectado la aplicación.
  2. Localice el ordenador donde ha tenido lugar la detección y haga clic en él para ver los detalles.
  3. En la ficha Eventos, busque el evento de detección y haga clic en Detalles.

  4. En Detalles el evento, busque No volver a detectar esto y seleccione una opción:

    • Excluir este ID de detección de la comprobación. impide esta detección en esta aplicación. Añade una exclusión para el ID de detección asociado con esta detección específica. Si el mismo comportamiento se produce de nuevo en su infraestructura, esto no desencadena una detección. Sin embargo, si el comportamiento es diferente, por ejemplo, rutas o archivos diferentes, el ID de detección es distinto y requiere una exclusión aparte.
    • Excluir esta mitigación de la comprobación de esta aplicación impide todas las comprobaciones de este exploit en esta aplicación. Esto aumenta el riesgo de un ataque. Sin embargo, puede ser útil cuando determinadas aplicaciones empresariales generan muchas detecciones inesperadas.
    • Excluir esta aplicación de la comprobación impide todas las comprobaciones de exploits en esta aplicación. Esto conlleva el mayor riesgo y, por lo tanto, solo debe utilizarlo como último recurso.

    • Pruebe a excluir el ID de detección primero, ya que es una acción más precisa. Si se vuelve a producir la misma detección, excluya el exploit. Si sigue produciéndose la misma detección, excluya la aplicación.

      "Detalles del evento" mostrando un tipo de detección StackExec en una aplicación.

  5. Haga clic en Excluir.

Añadiremos su exclusión a una lista.

Las exclusiones de ID de detección se incluyen en Exclusiones globales. Las exclusiones de aplicaciones se incluyen en Exclusiones de mitigación de vulnerabilidades.

Dejar de detectar un exploit detectado (usando la configuración de políticas)

Si se detecta un exploit en una aplicación pero tiene la seguridad de que la detección es incorrecta, puede evitar que vuelva a producirse usando las opciones disponibles en la política de protección contra amenazas.

También puede utilizar una política de protección contra amenazas para excluir las aplicaciones de Windows de la protección contra exploits de seguridad.

Añadir exclusiones reduce la protección. Le recomendamos que utilice políticas para añadir exclusiones de mitigación de vulnerabilidades porque puede dirigirlas a usuarios y dispositivos específicos. Puede asignar la política solo a los usuarios y dispositivos en los que la exclusión sea necesaria.

Si utiliza una política para dejar de detectar un exploit, comprobaremos si hay otros exploits que afectan esta aplicación.

Para dejar de detectar el exploit, haga lo siguiente:

  1. Vaya a Mis productos > Endpoint o Server.
  2. En Políticas, busque la política de Protección contra amenazas que se aplica a los dispositivos.
  3. En Configuración, busque Exclusiones y haga clic en Añadir exclusión.
  4. En el cuadro Tipo de exclusión, seleccione Exploits detectados (Windows/Mac).
  5. Seleccione el exploit y haga clic en Añadir.
  6. Compruebe que la política está asignada a los usuarios y dispositivos adecuados.

También puede utilizar una política para dejar de detectar exploits en todas las aplicaciones de un tipo específico. Para hacerlo, vaya a la política de protección contra amenazas y desactive la mitigación de exploits (que se encuentra en Protección en tiempo de ejecución) para ese tipo de aplicación.

Aviso

No se recomienda desactivar la mitigación de exploits.

Dejar de buscar un exploit específico en una aplicación

Supongamos que no se ha producido una detección para una aplicación, pero se ha identificado que la aplicación debe excluirse de una mitigación específica. En ese caso, puede dejar de buscar de forma proactiva un exploit específico.

Si utiliza este método, comprobaremos si hay otros exploits que afectan esta aplicación.

Puesto que añadir exclusiones reduce su protección, le recomendamos utilizar políticas para usuarios y dispositivos en los que la exclusión sea necesaria en lugar de utilizar esta opción global.

Para dejar de buscar un exploit específico, haga lo siguiente:

  1. Vaya a Mis productos > Configuración general > Exclusiones globales.
  2. Haga clic en Añadir exclusión.
  3. En Tipo de exclusión, seleccione Mitigación de exploits (Windows).

  4. En la lista de aplicaciones, seleccione la aplicación que desea excluir.

    1. Si no aparece en la lista, haga clic en ¿La aplicación no está en la lista?. En Excluir aplicación por ruta, introduzca la ruta completa de la aplicación.

      "Añadir exclusión" que muestra una lista de aplicaciones protegidas.

  5. En Mitigaciones, desactive la mitigación de la que desea excluir la aplicación.

    "Mitigaciones" mostrando una lista de mitigaciones que están activadas para la aplicación.

  6. Haga clic en Añadir.

  7. Haga clic en Guardar.

Dejar de buscar cualquier exploit en una aplicación

Si una aplicación genera muchas detecciones de exploits inesperadas o sufre problemas de rendimiento cuando la mitigación de exploits está activada, puede dejar de comprobar cualquier exploit en la aplicación.

Si utiliza este método, no comprobaremos si hay otros exploits que afectan esta aplicación, pero sí verificaremos si hay programas maliciosos y comportamiento de ransomware.

Puesto que añadir exclusiones reduce su protección, le recomendamos utilizar políticas para usuarios y dispositivos en los que la exclusión sea necesaria en lugar de utilizar esta opción global.

Para dejar de buscar cualquier exploit en una aplicación, haga lo siguiente:

  1. Vaya a Mis productos > Configuración general > Exclusiones globales.
  2. Haga clic en Añadir exclusión.
  3. En Tipo de exclusión, seleccione Mitigación de exploits (Windows).

  4. En la lista de aplicaciones, seleccione la aplicación que desea excluir.

    1. Si no aparece en la lista, haga clic en ¿La aplicación no está en la lista?.

    2. En Excluir aplicación por ruta, introduzca la ruta completa de la aplicación.

      "Añadir exclusión" que muestra una lista de aplicaciones protegidas.

  5. En Mitigaciones, desactive Proteger aplicación.

    "Mitigaciones" que muestra la opción "Proteger aplicación".

  6. Haga clic en Añadir.

  7. Haga clic en Guardar.