Análisis de Exchange

Puede analizar de forma remota la base de datos de un servidor de Exchange mediante la ejecución de una tarea Análisis de Exchange.

Para poder analizar la base de datos de Exchange, debe habilitar el análisis bajo demanda proporcionando las credenciales de un administrador de Exchange. Para

más información, diríjase a“Análisis del almacén de Exchange” (p. 156).

Para analizar una base de datos de servidor de Exchange: 1. Diríjase a la página Red.

2. En el panel de la izquierda, seleccione el grupo que contiene el servidor de Exchange objetivo. Puede encontrar el servidor en el panel de la derecha.

Nota

Opcionalmente, puede aplicar filtros para encontrar rápidamente el servidor objetivo:

● Haga clic en el menú Filtros y seleccione las siguientes opciones:

Administrados (Servidores de Exchange) de la pestaña Seguridad y Todos los elementos recursivamente de la pestaña Profundidad.

● Introduzca el nombre de host del servidor o su IP en los campos de los

encabezados de las columnas correspondientes.

3. Marque la casilla de verificación del servidor de Exchange cuya base de datos quiera analizar.

4. Haga clic en el botón Tareas de la zona superior de la tabla y elija Análisis de Exchange. Aparecerá una nueva ventana de configuración.

5. Configure las opciones de análisis:

● General. Escriba un nombre descriptivo para la tarea.

Con bases de datos grandes, la tarea de análisis puede tardar mucho tiempo y es posible que afecte al rendimiento del servidor. En tales casos, marque la casilla de verificación Detener el análisis si tarda más de y seleccione un intervalo de tiempo oportuno en los menús correspondientes.

● Objetivo. Seleccione los contenedores y objetos que desea analizar. Puede optar por analizar los buzones, las carpetas públicas o ambos. Además de los correos electrónicos, puede optar por analizar otros objetos como Contactos, Tareas, Citas y Elementos para exponer. Además, puede establecer las siguientes restricciones a los contenidos que se analizarán: – Solo los mensajes no leídos.

– Solo los elementos con adjuntos.

– Solo los elementos nuevos recibidos en un intervalo de tiempo determinado.

Por ejemplo, puede elegir analizar solo los mensajes de correo electrónico de los buzones de los usuarios recibidos en los últimos siete días.

Marque la casilla de verificación Exclusiones si desea definir excepciones de análisis. Para crear una excepción, utilice los campos del encabezado de la tabla de la siguiente manera:

a. Seleccione el tipo de repositorio en el menú.

b. Dependiendo del tipo de repositorio, indique el objeto que haya que excluir:

Formato de objeto Tipo de repositorio

Dirección de correo: Buzón de Correo

Ruta de la carpeta, a partir de la raíz Carpeta pública

Formato de objeto Tipo de repositorio

La identidad de la base de datos Base de Datos

Nota

Para obtener la identidad de la base de datos, utilice el comando shell de Exchange:

Get-MailboxDatabase | fl name,identity

Solo puede indicar los elementos uno a uno. Si tiene varios elementos del mismo tipo, debe definir tantas reglas como elementos tenga.

c. Haga clic en el botón Añadir de la parte superior de la tabla para

guardar la excepción y añadirla a la lista.

Para eliminar una regla de excepción de la lista, haga clic en el botón Eliminar correspondiente.

● Opciones. Configure las opciones de análisis para mensajes de correo electrónico que cumplan la regla:

– Tipos de archivos analizados. Utilice esta opción para especificar los tipos de archivo que desee analizar. Puede optar por analizar todos los archivos (con independencia de su extensión), solamente archivos de aplicación o extensiones de archivo concretas que considere peligrosas. Analizar todos los archivos aporta la mayor protección, mientras que se recomienda analizar solo las aplicaciones para un análisis más rápido.

Nota

Los archivos de aplicaciones son mucho más vulnerables a los ataques de malware que otro tipo de archivos. Para más información, diríjase a

“Tipos de archivos de aplicación” (p. 234).

Si desea analizar solo los archivos con determinadas extensiones, tiene dos alternativas:

● Extensiones definidas por el usuario, donde debe proporcionar solo las extensiones que se analizarán.

● Todos los archivos, excepto extensiones concretas, donde debe introducir solo las extensiones que no se analizarán.

– Tamaño máximo del adjunto/cuerpo del mensaje (MB). Marque esta casilla de verificación e introduzca un valor en el campo correspondiente para establecer el tamaño máximo aceptado de un archivo adjunto o del cuerpo del mensaje de correo electrónico que se va a analizar.

– Profundidad de archivo máxima (niveles). Marque la casilla de verificación y elija la profundidad máxima del archivo comprimido en el campo correspondiente. Cuanto menor sea el nivel de profundidad, mayor será el rendimiento, pero menor el grado de protección.

– Analizar en busca de aplicaciones potencialmente no deseadas (APND). Marque esta casilla de verificación para buscar aplicaciones maliciosas o potencialmente no deseadas, como por ejemplo adware, que pueden instalarse en los sistemas sin el consentimiento del usuario, cambiar el comportamiento de diversos productos de software y reducir el rendimiento del sistema.

● Acciones. Cuando se detecta una amenaza de seguridad, Bitdefender Endpoint Security Tools la elimina automáticamente en función del tipo de detección:

– Archivos infectados. Los archivos detectados como infectados coinciden con una firma de malware en la base de datos de firmas de malware de Bitdefender.

– Archivos sospechosos. El análisis heurístico detecta los archivos sospechosos. Dado que B-HAVE es una tecnología de análisis heurístico, Bitdefender Endpoint Security Tools no puede asegurar que el archivo esté realmente infectado con malware.

Para cada tipo de detección, dispone de una acción por defecto o principal y de una acción alternativa por si falla la principal. Aunque no es recomendable, puede cambiar estas acciones mediante los menús correspondientes. Elija la acción a adoptar:

– Desinfectar. Elimina el código de malware de los archivos infectados y reconstruye el archivo original. Para tipos particulares de malware, la desinfección no es posible porque el archivo detectado es completamente malicioso. Se recomienda siempre mantener esta como la primera acción a aplicar en los archivos infectados. Los archivos sospechosos no pueden ser desinfectados, porque no hay una rutina de desinfección disponible. – Rechazar/Eliminar mensaje. En los servidores con rol de transporte perimetral, se rechaza el mensaje de correo electrónico detectado con un código de error 550 SMTP. En todos los demás casos, el mensaje de correo electrónico se borra sin ninguna advertencia. Se aconseja que evite utilizar esta acción.

– Eliminar archivo. Elimina los archivos adjuntos problemáticos sin ninguna advertencia. Se aconseja que evite utilizar esta acción.

– Reemplazar archivo. Elimina los archivos problemáticos e inserta un archivo de texto que comunica al usuario las acciones adoptadas. – Mover archivo a la cuarentena. Mueve los archivos detectados a la

carpeta de cuarentena e inserta un archivo de texto que comunica al usuario las acciones adoptadas. Los archivos en cuarentena no pueden ejecutarse ni abrirse; en consecuencia, desaparece el riesgo de resultar infectado. Puede administrar los archivos de la cuarentena desde la página Cuarentena.

Nota

Tenga en cuenta que la cuarentena para servidores de Exchange requiere espacio de disco duro adicional en la partición donde esté instalado el agente de seguridad. El tamaño de la cuarentena depende del número de elementos almacenados y de su tamaño.

– No realizar ninguna acción. No se realizará ninguna acción sobre los archivos detectados. Estos archivos solo aparecerán en el log de análisis. Las tareas de análisis se configuran de forma predeterminada para ignorar los archivos sospechosos. Quizá desee cambiar la acción predeterminada para mover archivos sospechosos a la cuarentena. – Por defecto, cuando un mensaje de correo electrónico coincide con el

ámbito de aplicación de una regla, se procesa exclusivamente de conformidad con la regla, sin cotejarlo con ninguna otra regla restante. Si desea seguir cotejando las otras reglas, deje sin marcar la casilla de verificación Si las condiciones de la regla coinciden, detener el proceso de más reglas.

6. Haga clic en Guardar para crear la tarea de análisis. Aparecerá un mensaje de confirmación.

7. Puede ver y administrar las tareas en la página Red > Tareas. Para obtener más

información, consulteVer y administrar tareas.