4
Uso y administración de
registros
En este capítulo se incluyen los temas siguientes:
■ Acerca de los registros
■ Visualización de los registros
■ Administrar el tamaño del registro
■ Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas
■ Usar los registros de Protección contra amenazas de red y de Administración de clientes
■ Exportar datos de registro
Acerca de los registros
Los registros contienen información sobre los cambios de configuración del cliente, las actividades relacionadas con la seguridad y los errores. Estos registros se llaman eventos. Los registros muestran estos eventos con cualquier información adicional relevante.
Las actividades relacionadas con la seguridad incluyen información sobre las detecciones de virus, el estado del equipo y el tráfico que entra o sale de su equipo. Si utiliza un cliente administrado, los registros se pueden cargar regularmente en el servidor de administración. Un administrador puede utilizar sus datos para analizar el estado general de la seguridad de la red.
Los registros son un método importante para conocer la actividad del equipo y su interacción con otros equipos y redes. Es posible utilizar la información de los
9
registros para realizar seguimientos de las tendencias relacionadas con los virus, los riesgos de seguridad y los ataques al equipo. Si varias personas utilizan el mismo equipo, es posible que pueda identificar quién introduce riesgos, y ayudar a esa persona a tomar mayores precauciones.
Para obtener más información sobre un registro, es posible presionar F1 y ver la ayuda para ese registro.
Tabla 9-1describe los tipos de evento que cada registro muestra. Tabla 9-1 Registros de clientes
Descripción Registro
Contiene entradas sobre los análisis que se han ejecutado en su equipo a lo largo del tiempo.
Registro de análisis
Contiene entradas sobre virus y riesgos de seguridad, como publicidad no deseada y software espía, que han infectado su equipo. Riesgos de seguridad incluyen un vínculo a la página web de Symantec Security Response, que proporciona información adicional.
Registro de riesgos
Contiene información sobre las actividades del sistema en su equipo que están relacionadas con los virus y los riesgos de seguridad. Esta información incluye cambios de configuración, errores e información de archivos de definiciones.
Registro del sistema de Protección antivirus y contra software espía
Contiene información sobre las amenazas que el Análisis de amenazas proactivo TruScan ha detectado en su equipo. Estas incluyen las aplicaciones comerciales que se pueden utilizar con propósitos maliciosos. Algunos ejemplos son los caballos de Troya, gusanos, registradores de pulsaciones o los gusanos de correo masivo y las amenazas basadas en scripts.
Registro de amenazas
Contiene información sobre las actividades del sistema en su equipo que están relacionadas con los análisis proactivos de amenazas de TruScan.
Registro del sistema de Protección proactiva contra amenazas Uso y administración de registros
Acerca de los registros 160
Descripción Registro
Contiene los eventos que se refieren al tráfico de firewall y los ataques de prevención de intrusiones. El registro contiene información sobre las conexiones del equipo a través de la red. Los registros de la Protección contra amenazas de red pueden ayudarlo a detectar actividad potencialmente peligrosa, como análisis de puertos. Pueden también ser utilizados para rastrear el origen del tráfico. Es posible también utilizar los registros de la protección de red para ayudar a solucionar problemas de conectividad o posibles ataques de red. Los registros pueden indicar cuándo el equipo fue bloqueado de la red y ayudarlo a determinar por qué se ha bloqueado su acceso.
Registro de tráfico
Contiene la información sobre los paquetes de datos que entran o salen por medio de los puertos en su equipo.
De forma predeterminada, se deshabilita el Registro de paquetes. En un cliente administrado, no se puede habilitar el Registro de paquetes. En un cliente no administrado, se puede habilitar el Registro de paquetes.
Registro de paquetes
El Registro de control contiene información sobre las claves de registro, los archivos y las DLL a los que accede una aplicación, además de las aplicaciones que el equipo ejecuta.
Registro de control
Contiene información sobre las actividades que se dirigieron a su equipo que pueden potencialmente plantear una amenaza. Algunos ejemplos son las actividades como los ataques de negación de servicio, los análisis de puertos y las alteraciones de archivos ejecutables.
Registro de seguridad
Contiene información sobre todos los cambios operativos que han ocurrido en su equipo. Los ejemplos incluyen actividades como cuando un servicio se inicia o se detiene, el equipo detecta aplicaciones de red, cuando se configura el software o el estado de un cliente que actúa como proveedor de actualizaciones de grupo (GUP).
Registro del sistema de Administración de clientes
Contiene entradas sobre los intentos de intervenir las aplicaciones de Symantec en su equipo. Estas entradas contienen información sobre los intentos que la Protección contra intervenciones haya detectado o haya detectado y frustrado.
Registro de protección contra intervenciones
Contiene información sobre el cliente, los análisis y el firewall para solucionar problemas. Su administrador puede pedirle que se habilite o que configure los registros y que luego los exporte. Registros de
depuración
161 Uso y administración de registros
Visualización de los registros
Es posible ver los registros de su equipo para conocer los detalles de los eventos que han ocurrido.
Advertencia:Si algunas partes de la interfaz de usuario del cliente no aparecen, por ejemplo, Protección contra amenazas de red y Network Access Control, no es posible ver el Registro de seguridad, el Registro del sistema ni el Registro de control.
Para ver un registro
1
En el cliente, haga clic en Ayuda > Solución de problemas.2
En el cuadro de diálogo Solución de problemas, haga clic en Registros.3
En el panel Registros, haga clic en el nombre del registro y haga clic en Verregistro.
Filtrar las vistas del registro
Es posible filtrar la vista de algunos registros de maneras diferentes. Es posible filtrar los eventos de los registros de Protección contra amenazas de red y de Administración de clientes según el período durante el cual ocurrieron. Es posible filtrar los eventos de algunos de los registros de Protección contra amenazas de red según su nivel de gravedad. Es posible filtrar los eventos del Registro del sistema de Protección antivirus y contra software espía y del Registro del sistema de Protección proactiva contra amenazas según el tipo de evento.
Filtrar entradas por período
Es posible filtrar algunos registros según el período durante el cual ocurrieron los eventos.
Para filtrar entradas de registro por período
1
En el cliente, en la barra lateral, haga clic en Ver registros.2
A la derecha de Protección contra amenazas de red o de Administración de clientes, haga clic en Ver registros.3
Haga clic en el nombre del registro que desea ver.4
En la ventana de vista del registro, haga clic en Filtrar y después seleccione el período para el cual desea ver los eventos del registro.Por ejemplo, si selecciona Registros de 2 semanas, el visor de registros muestra los eventos registrados durante los últimos 14 días.
Uso y administración de registros Visualización de los registros 162
Filtrar entradas por nivel de gravedad
Es posible filtrar la información del Registro de seguridad o del Registro del sistema de Protección contra amenazas de red y de Administración de clientes según el nivel de gravedad. De forma predeterminada, aparecen eventos de todos los niveles de gravedad.
Para filtrar entradas de registro por nivel de gravedad
1
En el cliente, en la barra lateral, haga clic en Ver registros.2
A la derecha de Protección contra amenazas de red o de Administración de clientes, haga clic en Ver registros.3
Haga clic en el nombre del registro que desea ver.4
En la ventana de visualización del registro, haga clic en Filtrar y después haga clic en Gravedad.5
Deje sin marcar una de las siguientes opciones:■ Crítico (Registro de seguridad solamente)
■ Importante (Registro de seguridad solamente)
■ Menor (Registro de seguridad solamente)
■ Error (Registro del sistema solamente)
■ Advertencia (Registro del sistema solamente)
■ Información
Al dejar sin marcar un elemento, se eliminan los eventos de ese nivel de gravedad de la vista.
6
Es posible hacer clic en Gravedad y seleccionar otro nivel para eliminar niveles adicionales de gravedad de la vista.Filtrar los Registros del sistema por categoría del evento
En el Registro del sistema de Protección antivirus y contra software espía y en el Registro del sistema de Protección proactiva contra amenazas, se categorizan los siguientes eventos:
■ Cambio de configuración
■ Inicio o cierre de Symantec Endpoint Protection
■ Archivo de definiciones de virus
■ Omisiones de análisis
■ Enviar al servidor de cuarentena
163 Uso y administración de registros
■ Enviar a Symantec Security Response
■ Carga o descarga de Auto-Protect
■ Administración y uso móvil de clientes
■ Envío de registros
■ Advertencias de comunicación no autorizada (acceso denegado)
■ Administración de certificados e inicio de sesión
■ Cumplimiento del cliente
■ Error de carga del motor de TruScan
■ Error de carga de aplicaciones conocidas de TruScan
■ Sistema operativo de TruScan no compatible
El número de eventos que aparece en los dos Registros del sistema se puede reducir mediante la visualización de determinados tipos de evento únicamente. Por ejemplo, si desea ver solamente los eventos que se relacionan con Auto-Protect, podría seleccionar solamente el tipo de carga o descarga de Auto-Protect. Si selecciona un tipo, no se detiene la grabación de eventos en las otras categorías. Sólo se ocultan las otras categorías cuando se visualiza el Registro del sistema.
Nota:Solamente los eventos relevantes están disponibles para la exclusión de la vista.
Para filtrar los Registros del sistema por categoría del evento
1
En el cliente, en la barra lateral, haga clic en Ver registros.2
Al lado de Protección antivirus y contra software espía o Protección proactiva contra amenazas, haga clic en Ver registros.3
Haga clic en Registro del sistema.4
Haga clic en Filtrar.5
Marque o deje sin marcar una o más categorías de eventos.6
Haga clic en Aceptar.Administrar el tamaño del registro
Es posible configurar durante cuanto tiempo se conservan las entradas en los registros. Borrar las entradas más antiguas ayuda a evitar que los registros usen demasiado espacio en el disco. Para los registros de Protección contra amenazas
Uso y administración de registros Administrar el tamaño del registro 164
de red y los registros de Administración de clientes, es posible también configurar la cantidad de espacio utilizada.
Configurar el tiempo de retención para las entradas de registro de
Protección antivirus y contra software espía
Para configurar el tiempo de retención para las entradas de registro de Protección antivirus y contra software espía
1
En el cliente, en la página Estado, al lado de Protección antivirus y contrasoftware espía, haga clic en Opciones y, a continuación, en Cambiar configuración.
2
En la ficha General, configure el valor numérico y la unidad de tiempo para conservar las entradas en estos registros. Las entradas más antiguas que el valor asignado se borran.3
Haga clic en Aceptar.Configurar el tamaño de los registros de Protección contra amenazas
de red y de Administración de clientes
Es posible configurar el tamaño de cada registro de Protección contra amenazas de red y Administración de clientes.
Para modificar el tamaño de los registros
1
En el cliente, en la página Estado, a la derecha de Protección contra amenazas de red, haga clic en Opciones y después haga clic en Cambiar configuración.2
En el cuadro de diálogo Configuración de protección contra amenazas de red, en la ficha Registros, en el campo de texto Tamaño máximo del archivo de registro, escriba el número máximo de kilobytes para el tamaño del archivo de registro.Es necesario mantener reducido el tamaño del archivo de registro debido al espacio disponible en el equipo. El tamaño predeterminado para todos los registros es de 512 KB, a excepción del registro de control y el registro de paquetes. El tamaño predeterminado para el registro de control y el registro de paquetes es de KB 1024.
3
Haga clic en Aceptar.165 Uso y administración de registros Administrar el tamaño del registro
Configurar el tiempo de retención para las entradas de registro de
Protección contra amenazas de red y Administración de clientes
Es posible especificar cuántos días se guardarán las entradas en cada registro. Después de que se alcanza el número máximo de días, las entradas más antiguas se sustituyen. Sería aconsejable eliminar entradas para ahorrar espacio o conservar entradas para revisar la seguridad de su equipo.
Para configurar el número de días para conservar entradas de registro
1
En el cliente, en la página Estado, a la derecha de Protección contra amenazas de red, haga clic en Opciones y después haga clic en Cambiar configuración.2
En el cuadro de diálogo Configuración de protección contra amenazas de red, en la ficha Registros, en el campo de texto Guardar cada entrada de registro para, escriba el número máximo de días para guardar las entradas de registro.3
Haga clic en Aceptar.Acerca del borrado de contenido del Registro del sistema de Protección
antivirus y contra software espía
No es posible quitar permanentemente registros de eventos del Registro del sistema mediante la interfaz de usuario.
Borrar el contenido de los registros de Protección contra amenazas
de red y de Administración de clientes
Si su administrador lo permite, es posible borrar el contenido de los registros de Protección contra amenazas de red y de Administración de clientes. Después de borrar un registro, éste comienza inmediatamente a guardar entradas de nuevo.
Nota:Si la opción de borrado no está disponible, no tendrá permisos para borrar contenido del registro.
Si tiene permiso para hacerlo, también es posible borrar el contenido de un registro desde el menú Archivo del registro.
Para borrar el contenido de un registro
1
En el cliente, en la página Estado, a la derecha de Protección contra amenazas de red, haga clic en Opciones y después haga clic en Cambiar configuración.2
En el cuadro de diálogo Configurar la protección contra amenazas de red, en la ficha de Registros, al lado del registro que desee, haga clic en Borrarregistro.
Uso y administración de registros Administrar el tamaño del registro 166
3
Cuando se le solicite confirmación, haga clic en Sí.4
Haga clic en Aceptar.Poner en cuarentena riesgos y amenazas del Registro
de riesgos y del Registro de amenazas
Es posible poner en cuarentena las amenazas que se han registrado en el historial de amenazas de Protección proactiva contra amenazas. Es posible poner en cuarentena riesgos del Registro de riesgos de Protección antivirus y contra software espía. Es posible también limpiar y borrar riesgos del Registro de riesgos de Protección antivirus y contra software espía.
Para poner en cuarentena un riesgo o una amenaza
1
En el cliente, en la barra lateral, haga clic en Ver registros.2
Al lado de Protección antivirus y contra software espía o Protección proactiva contra amenazas, haga clic en Ver registros y después haga clic en el nombre del registro que desee.3
Seleccione un riesgo o una amenaza y después haga clic en Cuarentena. De acuerdo con la acción preseleccionada para una detección de riesgo, Symantec Endpoint Protection podrá o no podrá realizar la acción que usted seleccione. Si la amenaza o el riesgo fueron puestos correctamente en cuarentena, se mostrará un mensaje de resultado correcto. No es necesario tomar más medidas para mantener el equipo a salvo de este riesgo o amenaza. Es posible dejar los archivos con riesgos que se colocaron en el área de cuarentena allí o suprimirlos. Se aconseja conservarlos en el área de cuarentena hasta que esté seguro de que las aplicaciones del equipo no han perdido funcionalidad.Ver"Acerca de los archivos infectados en la cuarentena"en la página 98. En los casos en queSymantec Endpoint Protection no puede poner el riesgo o la amenaza en cuarentena, se muestra un mensaje de error. En estos casos, puede ponerse en contacto con su administrador.
Es posible también limpiar y borrar riesgos y amenazas, además de deshacer acciones de estos registros, cuando sea pertinente.
Ver"Acciones sobre los archivos infectados"en la página 20.
167 Uso y administración de registros Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas
Usar los registros de Protección contra amenazas de
red y de Administración de clientes
Los registros de Protección contra amenazas de red y de Administración de
clientes permiten realizar un seguimiento de la actividad de su equipo y su
interacción con otros equipos y redes. Estos registros almacenan información sobre el tráfico que intenta entrar en su equipo o salir de él mediante su conexión de red. Estos registros también contienen información sobre los resultados de las políticas de firewall que se aplican al cliente.
Es posible administrar los registros de clientes de Protección contra amenazas
de red y de Administración de clientes desde una ubicación central. Los registros
de Seguridad, Tráfico y Paquete permiten rastrear el origen de ciertos datos. Se los localiza usando ICMP para determinar todos los saltos entre su equipo y un intruso en otro equipo.
Nota:Algunas opciones para estos registros pueden no estar disponibles, según el tipo de control que su administrador haya configurado para su cliente.
Actualizar los registros de Protección contra amenazas de red y de
Administración de clientes
Para actualizar un registro
1
En el cliente, en la barra lateral, haga clic en Ver registros.2
A la derecha de Protección contra amenazas de red o de Administración de clientes, haga clic en Ver registros y después haga clic en el nombre del registro que desee.3
En el menú Ver, haga clic en Actualizar.Habilitar el Registro de paquetes
Todos los registros de Protección contra amenazas de red y de Administración de clientes están habilitados de forma predeterminada, a excepción del Registro de paquetes. Si su administrador lo permite, podrá habilitar e inhabilitar el Registro de paquetes.
Uso y administración de registros
Usar los registros de Protección contra amenazas de red y de Administración de clientes 168
Para habilitar el Registro de paquetes
1
En el cliente, en la página Estado, a la derecha de Protección contra amenazas de red, haga clic en Opciones y después haga clic en Cambiar configuración.2
En el cuadro de diálogo Configuración de protección contra amenazas de red, haga clic en Registros.3
Marque Habilitar el registro de paquetes.4
Haga clic en Aceptar.Detener una respuesta activa
Cualquier intrusión que se detecte en el cliente desencadena una respuesta activa. Esta respuesta activa bloquea automáticamente la dirección IP de un intruso conocido durante una cantidad de tiempo específica. Si su administrador lo permite, puede detener la respuesta activa inmediatamente desde el Registro de seguridad. Ver"Bloquear y desbloquear un equipo atacante"en la página 139.
Localizar el origen de los eventos registrados
Es posible rastrear algunos eventos para identificar el origen de datos de un evento registrado. Como un detective que sigue el camino de un criminal en la escena del crimen, un seguimiento regresivo muestra los pasos exactos, o los saltos, realizados por el tráfico entrante. Un salto es un punto de transición, tal como un router, por el que viaja un paquete al ir de un equipo a otro en Internet. Un seguimiento