Habilitación de la funcionalidad Endpoint Detection and Response (EDR)

Puede habilitar la EDR en cualquier plan de protección.

Pasos para habilitar la EDR

  1. En la consola de Cyber Protect, vaya a Administración > Planes de protección.
  2. Seleccione el plan de protección correspondiente en la lista que se muestra y, en la barra lateral derecha, haga clic en Editar.

    De manera alternativa, puede crear un nuevo plan de protección y seguir con el siguiente paso. Para obtener más información sobre cómo trabajar con los planes de protección, consulte Planes de protección y módulos.

  3. En la barra lateral del plan de protección, haga clic en el interruptor que se encuentra junto al nombre del módulo para habilitar el módulo de Endpoint Detection and Response (EDR).

  4. En el diálogo que se muestra, haga clic en Habilitar. Tenga en cuenta que puede habilitar EDR y, al mismo tiempo, deshabilitar cualquiera de las funciones antivirus y antimalware, Active Protection y filtrado de URL en el plan de protección.

    Si no tiene la licencia requerida, el icono de aviso de licencia () aparece junto al interruptor. El icono de Detection and Response, como se muestra a continuación, se agrega a la lista de paquetes de protección necesarios para la implementación del plan de protección.

    Si no resuelve el problema con la licencia, la funcionalidad de EDR se desactivará cuando el plan se aplique a cargas de trabajo.

  5. Para recopilar datos de eventos de EDR continuamente, incluso cuando no hay detecciones particulares, habilite la supervisión extendida.

    La supervisión extendida consume recursos de CPU adicionales en la carga de trabajo protegida, por lo que recomendamos verificar su rendimiento después de habilitar la función. Dependiendo del número de eventos recopilados, también podría aumentar el ancho de banda utilizado para la comunicación con el centro de datos.

    Los datos recopilados sobre eventos de seguridad se conservan durante 180 días en el centro de datos.

Si habilita Antivirus Microsoft Defender para la protección en tiempo real, el módulo Protección en tiempo real se desactiva automáticamente para evitar que se produzcan conflictos. Las detecciones de virus/malware y la cuarentena son gestionadas por el Antivirus Microsoft Defender y cualquier incidente de EDR relacionado con detecciones de virus/malware se crea a partir de la información proporcionada por el Antivirus Microsoft Defender. EDR incluye otros motores de detección que pueden crear otros tipos de incidentes sin la intervención del Antivirus Microsoft Defender.

De forma similar, si habilita Protección en tiempo real, el módulo Antivirus Microsoft Defender se deshabilita automáticamente.

También se deben desactivar los ajustes de protección contra manipulaciones en Windows para garantizar que el Antivirus Microsoft Defender funcione correctamente en Cyber Protect Cloud. Para obtener más información, consulte este artículo de la base de conocimiento.

Además, si el Motor de comportamiento o la Protección antivirus y antimalware están deshabilitados en el plan de protección cuando EDR está habilitado, también estará deshabilitada la opción Endpoint Detection and Response (EDR).