Dell Trusted Device Guía de instalación y administrador v3.8
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Notas, precauciones y advertencias NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo evitar el problema. AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte. © 2019 - 2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in this document: Dell™ and the Dell logo, Dell Latitude™, OptiPlex™, Precision™, and XPS™ are trademarks of Dell Inc. Docker™ is either trademarked or registered trademark of Docker in the United States and/or other countries. Microsoft®, Windows®, Windows 10®, Microsoft System Center Configuration Manager®, Event Viewer® and Task Scheduler® are either trademarks or registered trademarks of Microsoft Corporation in the United States and/or other countries. Carbon Black™ is either trademarked or registered trademark of VMWare in the United States and/or other countries. Other names may be trademarks of their respective owners.
Tabla de contenido Capítulo 1: Introducción...................................................................................................................5 Comuníquese con el equipo de Dell ProSupport for Software........................................................................................ 5 Capítulo 2: Requisitos..................................................................................................................... 6 Requisitos previos.................................................................................................................................................................. 7 Plataformas.............................................................................................................................................................................7 Puertos.................................................................................................................................................................................. 12 Sistemas operativos.............................................................................................................................................................12 Capítulo 3: Descarga del software................................................................................................... 13 Capítulo 4: Verificar el paquete de instalación.................................................................................. 15 Capítulo 5: Ha finalizado la instalación.............................................................................................16 Instalación interactiva.......................................................................................................................................................... 16 Comprobar la versión instalada de manera interactiva..............................................................................................19 Comprobar la versión instalada con la línea de comandos........................................................................................ 19 Instalación con la línea de comandos................................................................................................................................. 19 Implementación y recopilación............................................................................................................................................21 Capítulo 6: Desinstalar Trusted Device............................................................................................ 22 Desinstalar desde Aplicaciones y funciones..................................................................................................................... 22 Desinstalar desde la línea de comandos............................................................................................................................22 Capítulo 7: Funciones.................................................................................................................... 23 Verificación del BIOS...........................................................................................................................................................23 Captura de imagen.............................................................................................................................................................. 23 Eventos e indicadores de ataque al BIOS.........................................................................................................................23 Puntaje de protección de riesgos de seguridad...............................................................................................................24 Verificación de Intel ME......................................................................................................................................................24 Capítulo 8: Interoperabilidad.......................................................................................................... 25 SIEM......................................................................................................................................................................................25 Requisitos....................................................................................................................................................................... 25 Carbon Black.........................................................................................................................................................................31 Capítulo 9: Ejecutar el Agent de verificación del BIOS...................................................................... 33 Ejecutar el Agent de Verificación del BIOS de manera interactiva................................................................................33 Ejecutar el Agent de Verificación del BIOS con la línea de comandos..........................................................................35 Situaciones frecuentes....................................................................................................................................................... 36 Capítulo 10: Resultados, solución de problemas y corrección.............................................................37 Resultados............................................................................................................................................................................ 37 Tabla de contenido 3
Solución de problemas........................................................................................................................................................ 40 Corrección.............................................................................................................................................................................41 4 Tabla de contenido
1 Introducción El agente Dell Trusted Device es parte del portafolio de productos de Dell SafeBIOS. El agente Trusted Device incluye lo siguiente: ● Verificación del BIOS ● Eventos e indicadores de ataque al BIOS ● Captura de imagen ● Verificación de Intel ME ● Puntaje de protección de riesgos de seguridad ● Integración de SIEM y Dell Event Repository La verificación del BIOS proporciona a los clientes una confirmación de que los dispositivos están protegidos por debajo del sistema operativo, un lugar donde la visibilidad del administrador de TI es deficiente. Permite a los clientes verificar la integridad del BIOS mediante un proceso fuera del host sin interrumpir el proceso de arranque. Una vez que el agente Trusted Device se ejecuta en el terminal, se muestra un resultado de aprobado o fallido (0 o 1) en algunas de estas ubicaciones: ● Explorador web ● Línea de comandos ● Entrada del registro ● Event Viewer ● Registros Eventos e indicadores de ataque al BIOS permite a los administradores analizar eventos en el Windows Event Viewer que pueden indicar elementos dañinos que atacan los terminales empresariales del BIOS. Los elementos dañinos cambian los atributos del BIOS para obtener acceso a las computadoras empresariales de forma local o remota. Estos vectores de ataque se pueden supervisar y, luego, mitigar gracias a la capacidad de funciones de monitoreo de atributos del BIOS a través de Eventos e indicadores de ataque al BIOS. Intel Management Engine (Intel ME) es una microcontroladora independiente incorporada en los chipsets del procesador Intel fabricados a partir del 2008. Intel ME proporciona una interfaz entre el sistema operativo, el hardware y el BIOS. Además, a Intel ME se le otorga un amplio privilegio a nivel de sistema y se ejecuta en cada estado de alimentación. El agente Trusted Device analiza y verifica que el firmware de Intel ME esté presente y sin obstáculos. El puntaje de protección de riesgos de seguridad permite a los administradores determinar el nivel de riesgo de seguridad de las computadoras de su empresa. Trusted Device analiza las soluciones de seguridad y asigna un puntaje por evaluación del riesgo general. Trusted Device ahora incluye Dell Event Repository y se puede integrar en soluciones SIEM con soporte para las siguientes funciones: ● Verificación del BIOS ● Eventos e indicadores de ataque al BIOS ● Captura de imagen ● Puntaje de protección de riesgos de seguridad Consulte Interoperabilidad para conocer otras formas de usar Trusted Device con soluciones externas. Comuníquese con el equipo de Dell ProSupport for Software Llame al 877-459-7304, extensión 4310039 para obtener soporte telefónico sobre su producto Dell 24 horas al día, 7 días a la semana. Además, puede obtener soporte en línea para los productos Dell en dell.com/support. El soporte en línea incluye controladores, manuales, recomendaciones técnicas, P+F y posibles problemas. Tenga el Código de servicio rápido o Etiqueta de servicio a mano cuando realice la llamada para que el experto técnico adecuado se conecte con usted rápidamente. Para obtener los números de teléfono fuera de los Estados Unidos, consulte Números de teléfono internacionales de Dell ProSupport for Software. Introducción 5
2 Requisitos ● Consulte la tabla que aparece a continuación para obtener una lista de las plataformas compatibles. NOTA: Si el agente Trusted Device se instala en plataformas que no son de Dell, se muestra el siguiente error. NOTA: Si el agente Trusted Device se ejecuta en una plataforma que no es compatible, se muestra el siguiente error. Exclusiones Es posible que se requieran exclusiones para lograr la compatibilidad con software, antivirus o scripts de otros fabricantes. Excluya lo siguiente. Carpetas ● C:\ProgramData\Dell\BiosVerification ● C:\Program Files\Dell\BIOSVerification ● C:\Program Files\DELL\TrustedDevice Archivos o procesos ● C:\Program Files\DELL\TrustedDevice\Dell.SecurityCenter.Agent.Console.exe ● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.Console.exe ● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.exe 6 Requisitos
● C:\Program Files\DELL\TrustedDevice\DCF.Agent.exe ● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys Tipos de archivos ● .bv ● .rcv ● .sha256 Requisitos previos ● Se necesita Microsoft .NET Framework 4.7.2 (o posterior) para el instalador. El instalador no instala el componente de Microsoft .NET Framework. Todas las computadoras enviadas desde la fábrica de Dell vienen con la versión completa de Microsoft .Net Framework 4.8 (o posterior) previamente instalada. Para comprobar qué versión de Microsoft .Net tiene instalada, siga estas instrucciones en la computadora en la que se va a realizar la instalación. Para instalar Microsoft .NET Framework 4.7.2, consulte estas instrucciones de Microsoft. Para obtener más información acerca de Microsoft .Net Framework, consulte este documento de Microsoft. Plataformas ● La siguiente tabla muestra las plataformas compatibles: NOTA: La verificación del BIOS es compatible con todas las plataformas enumeradas. Modelo Eventos e Verificación de Intel indicadores de ME ataque al BIOS Latitude 3180 Latitude 3190 Latitude 3190 2 en 1 Latitude 3189 Latitude 3300 Latitude 3301 Latitude 3310 Latitude 3310 2 en 1 Latitude 3311 Latitude 3380 Latitude 3390 2 en 1 Latitude 3390 Latitude 3400 Latitude 3410 Latitude 3480 Latitude 3490 Latitude 3500 Requisitos 7
Modelo Eventos e Verificación de Intel indicadores de ME ataque al BIOS Latitude 3510 Latitude 3580 Latitude 3590 Latitude 5280 Latitude 5285 Latitude 5289 Latitude 5290 Latitude 5290 2 en 1 Latitude 5300 Latitude 5300 2 en 1 Latitude 5310 Latitude 5310 2 en 1 Latitude 5320 Latitude 5400 Latitude 5401 Latitude 5410 Latitude 5411 Latitude 5420 Latitude 5424 Latitude 5480 Latitude 5490 Latitude 5491 Latitude 5495 Latitude 5500 Latitude 5501 Latitude 5510 Latitude 5511 Latitude 5520 Latitude 5580 Latitude 5590 Latitude 5591 Latitude 7200 2 en 1 Latitude 7210 2 en 1 8 Requisitos
Modelo Eventos e Verificación de Intel indicadores de ME ataque al BIOS Tablet Latitude 7220 Rugged Tablet Latitude 7220 Rugged Extreme Latitude 7280 Latitude 7285 Latitude 7290 Latitude 7290 2 en 1 Latitude 7300 Latitude 7310 Latitude 7310 2 en 1 Latitude 7320 Latitude 7380 Latitude 7389 Latitude 7390 Latitude 7400 Latitude 7400 2 en 1 Latitude 7410 Latitude 7410 2 en 1 Latitude 7420 Latitude 7424 Rugged Latitude 7480 Latitude 7490 Latitude 7520 Latitude 9410 Latitude 9410 2 en 1 Latitude 9420 Latitude 9510 Latitude 9510 2 en 1 Latitude 9520 OptiPlex 3050 OptiPlex 3050 All-in-One OptiPlex 3060 OptiPlex 3070 Requisitos 9
Modelo Eventos e Verificación de Intel indicadores de ME ataque al BIOS OptiPlex 3080 OptiPlex 3280 OptiPlex 5050 OptiPlex 5055 OptiPlex 5060 OptiPlex 5070 OptiPlex 5080 OptiPlex 5250 All-in-One OptiPlex 5260 All-in-One OptiPlex 5270 All-in-One OptiPlex 5480 All-in-One OptiPlex 7050 OptiPlex 7060 OptiPlex 7070 Ultra Torre OptiPlex 7071 Torre OptiPlex 7080 OptiPlex 7450 All-in-One OptiPlex 7460 All-in-One OptiPlex 7470 All-in-One OptiPlex 7480 All-in-One OptiPlex 7760 All-in-One OptiPlex 7770 All-in-One OptiPlex 7780 All-in-One OptiPlex XE3 Precision 3430 Precision 3440 Precision 3431 Precision 3520 Precision 3530 Precision 3540 Precision 3541 Precision 3550 Precision 3551 10 Requisitos
Modelo Eventos e Verificación de Intel indicadores de ME ataque al BIOS Precision 3630 Precision 3640 Precision 5520 Precision 5530 Precision 5530 2 en 1 Precision 5540 Precision 5550 Precision 5750 Precision 5820 torre Torre Precision 5820 XL Precision 7520 Precision 7530 Precision 7540 Precision 7550 Precision 7720 Precision 7730 Precision 7740 Precision 7750 Precision 7820 torre Torre Precision 7820 XL XPS 13 7390 XPS 13 7390 2 en 1 XPS 13 9300 XPS 13 9365 XPS 13 9380 XPS 13 9560 XPS 15 7590 XPS 15 9500 XPS 15 9570 XPS 15 9575 XPS 17 9700 Requisitos 11
Puertos ● Trusted Device utiliza el anclaje de certificado. El agente de Trusted Device debe aprobar la inspección de SSL y TLS, la inspección profunda de paquetes, los servidores proxy y cualquier aplicación de conformado de tráfico. Asegúrese de que el agente de Trusted Device pueda comunicarse con Dell Cloud agregando el puerto 443 a la lista allowlist. Consulte la siguiente tabla para obtener más información: Destino Protocolo Puerto api.delltrusteddevicesecurity.com HTTPS 443 https://bas.solution.delltrusteddevicesecurity.com HTTPS 443 cds.service.securityscore.dell.com HTTPS 443 cds.service.securityscore.dell.com/devicesvc/api/v1 HTTPS 443 service.delltrusteddevicesecurity.com HTTPS 443 solution.delltrusteddevicesecurity.com HTTPS 443 Sistemas operativos ● La siguiente tabla indica los sistemas operativos compatibles: Sistemas operativos Windows (32 bits y 64 bits) ○ Windows 10 ○ Windows 11 12 Requisitos
3 Descarga del software Esta sección detalla cómo obtener el software desde dell.com/support. Si ya dispone del software, puede saltarse esta sección. Vaya a dell.com/support para empezar. 1. En la página web de asistencia de Dell, seleccione Navegar por todos los productos. 2. Seleccione Seguridad en la lista de productos. 3. Seleccione seguridad Trusted Device. Después de realizar una vez esta selección, el sitio web la recordará. Descarga del software 13
4. Seleccione el producto. Trusted Device 5. Seleccione Controladores y descargas. 6. Seleccione el tipo de sistema operativo de cliente deseado. 7. Seleccione el agente Trusted Device. 8. Seleccione Descargar. 14 Descarga del software
4 Verificar el paquete de instalación El paquete de instalación de Trusted Device se firma con Authenticode mediante un certificado patentado de Dell. Para verificar el paquete de instalación, realice los siguientes pasos: 1. Haga clic con el botón secundario en TrustedDevice-xxbit.msi. 2. Seleccione Propiedades. 3. Seleccione la pestaña Firmas digitales. 4. En Lista de firmas, verifique que aparezca la opción Dell Inc y selecciónela. 5. Seleccione Detalles. 6. En Información de firma digital, verifique que aparezca el mensaje La firma digital está correcta. NOTA: Si aparece el mensaje La firma digital no es válida en Información de firma digital, no continúe con la instalación. Verificar el paquete de instalación 15
5 Ha finalizado la instalación Utilice uno de los siguientes métodos para instalar el agent Trusted Device: ● Instalación interactiva ● Instalación con la línea de comandos Instalación interactiva El instalador del agente Trusted Device requiere derechos administrativos. La velocidad de bits de la utilidad debe coincidir con la arquitectura del sistema operativo del equipo host. Seleccione uno de lo siguiente: ● Instalador TrustedDeviceSetup.msi - 32-bit ● Instalador TrustedDeviceSetup-64bit.msi - 64-bit 1. Copie TrustedDeviceSetup-64bit. msi en la computadora local. 2. Haga doble clic en el instalador TrustedDeviceSetup-64bit.msi para iniciar el instalador. 3. Haga clic en Siguiente en la pantalla de bienvenida. 4. Lea el contrato de licencia, acepte las condiciones y haga clic en Siguiente. 5. Lea el Acuerdo de uso y acceso del software Dell Trusted Device, y seleccione Sí, deseo participar en el programa o No, no deseo participar en el programa y haga clic en Siguiente. 6. Haga clic en Siguiente para instalar en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\ 16 Ha finalizado la instalación
7. De forma predeterminada, el instalador de Trusted Device no instala accesos directos. Para instalar accesos directos, haga clic en el menú de árbol de la función Dell Trusted Device - Accesos directos y seleccione Esta función se instalará en la unidad de disco duro local. Haga clic en Siguiente para continuar. ● 8. Haga clic en Instalar para comenzar la instalación. Ha finalizado la instalación 17
9. Aparece una ventana de estado, pero puede tardar varios minutos. 10. Haga clic en Finalizar. 18 Ha finalizado la instalación
Después de la instalación, se inicia un navegador y se muestran los resultados. Consulte Resultados, solución de problemas y corrección para obtener más información. Si se le solicita, reinicie el equipo para completar la instalación. Comprobar la versión instalada de manera interactiva Para ver la versión instalada del agente Trusted Device de manera interactiva, utilice el siguiente método: 1. En Escriba aquí para buscar en la barra de tareas, escriba Aplicaciones y funciones. 2. Haga clic con el botón izquierdo en el agente Dell Trusted Device y verá la versión debajo del nombre del producto. Comprobar la versión instalada con la línea de comandos Para ver la versión instalada del agente Trusted Device de manera interactiva, utilice el siguiente método: 1. En Escriba aquí para buscar en la barra de tareas, escriba cmd. 2. Escriba wmic path win32_product where (caption like '%%trusted device%%') get version El número de versión se muestra en la ventana de la línea de comandos. Instalación con la línea de comandos ● Asegúrese de incorporar un valor que contenga uno o más caracteres especiales, como un espacio en la línea de comandos, en comillas de escape. ● Utilice estos comandos para instalar el agente Trusted Device mediante instalación con secuencia de comandos, archivos por lotes o cualquier otra tecnología de inserción que esté disponible en la organización. ● Archivos de registro: Windows crea archivos de registro de instalación para el usuario que haya iniciado sesión en %temp%, el cual se encuentra en C:\Users\\AppData\Local\Temp. Si decide agregar un archivo de registro cuando ejecute el instalador, asegúrese de que el archivo de registro tenga un nombre único. Utilice el comando estándar .msi para crear un archivo de registro. Por ejemplo, /l*v C:\\.log. Consulte el ejemplo que aparece a continuación. Ha finalizado la instalación 19
● Especifique las opciones de visualización al final del argumento que se envía al /v switch para lograr el comportamiento esperado. No utilice /q ni /qn en la misma línea de comandos. Utilice solo ! y - después de /qb. Modificador Significado /s Modo silencioso /l Escribe la información de registro en un archivo de registro en la ruta de acceso especificada o existente Opción Significado /q Sin diálogo de progreso; se reinicia automáticamente tras completar el proceso /qb Diálogo de progreso con botón Cancelar, indica que es necesario reiniciar. /qb- Diálogo de progreso con botón Cancelar, se reinicia automáticamente al terminar el proceso /qb! Diálogo de progreso sin botón Cancelar, indica que es necesario reiniciar /qb!- Diálogo de progreso sin botón Cancelar, se reinicia automáticamente al terminar el proceso /qn Sin interfaz de usuario ● Parámetros: La tabla a continuación indica los parámetros disponibles para la instalación. Parámetro Descripción ADDLOCAL Agrega una función que no se incluye en la instalación inicial InstallPath Ruta de acceso a una ubicación de instalación alternativa QUITAR Quita una función incluida en la instalación inicial SECURITYSCORE=1 Permite la instalación del puntaje de protección de riesgos de seguridad SHORTCUTS=0 Desactiva la instalación del ícono del escritorio y el acceso directo del menú de inicio SHORTCUTS=1 Activa la instalación del ícono del escritorio y el acceso directo del menú de inicio TELEMETRY_OPTIN=0 Desactiva la recopilación de información de estado del sistema TELEMETRY_OPTIN=1 Permite la recopilación de información de estado del sistema NOTA: Si se actualiza desde una versión anterior con el parámetro SHORTCUTS=0, no se quitará el ícono del escritorio. ● Ejemplo de instalación con la línea de comandos Ejemplo de línea de comandos para instalar el Agent Trusted Device La velocidad de bits de la utilidad debe coincidir con la arquitectura del sistema operativo. Seleccione uno de lo siguiente: ○ Instalador TrustedDeviceSetup.msi - 32-bit ○ Instalador TrustedDeviceSetup-64bit.msi - 64-bit ● En el siguiente ejemplo se instala el agente de Trusted Device de 32 bits con una instalación silenciosa, sin barra de progreso, instalado en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\ y los registros de instalación en C:\Dell. msiexec /i TrustedDeviceSetup.msi /qn /l*v C:\Dell\TrustedDevice.log 20 Ha finalizado la instalación
● En el siguiente ejemplo se instala el agente de Trusted Device de 64 bits con una instalación silenciosa, sin barra de progreso, instalado en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\. msiexec /i TrustedDeviceSetup-64bit.msi /qn ● En el siguiente ejemplo, se agregan accesos directos a una instalación de agente de Trusted Device de 64 bits existente de manera silenciosa, sin barra de progreso y se registra en C:\Dell. msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn ADDLOCAL="Shortcuts" /l*v C:\DELL\AddShortcuts.log ● En el siguiente ejemplo, se quitan accesos directos de una instalación de agente de Trusted Device de 64 bits existente de manera silenciosa, sin barra de progreso y se registra en C:\Dell. msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn REMOVE="Shortcuts" /l*v C:\DELL\RemoveShortcuts.log Implementación y recopilación Práctica recomendada: Cuando se instala el agente Trusted Device con utilidades de otros fabricantes, los administradores deben apuntar a colecciones específicas de dispositivos para evitar un alto volumen de ruido de plataformas no compatibles. Existen muchas opciones para apuntar a plataformas compatibles con utilidades de implementación. Para obtener ejemplos de la generación de recopilaciones con el Microsoft Endpoint Configuration Manager y las opciones para apuntar a dispositivos específicos, consulte https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/collections/create-collections. Las implementaciones se realizan a través de Microsoft Endpoint Configuration Manager según las recopilaciones generadas. Para obtener más información acerca de la generación de tareas de implementación y la programación en entornos más grandes, consulte https:// docs.microsoft.com/en-us/mem/configmgr/apps/deploy-use/deploy-applications. Otras utilidades de otros fabricantes utilizan mecanismos similares. Para obtener información acerca de las opciones de implementación de PDQ Deploy para la creación de recopilaciones, consulte https://documentation.pdq.com/PDQInventory/19.3.30.0/index.html?intro- collections-reports.htm. Para obtener información adicional acerca de la implementación de paquetes con PDQ Deploy, consulte https://www.pdq.com/deploy- scheduling/ Ha finalizado la instalación 21
6 Desinstalar Trusted Device El usuario que desinstala debe ser un administrador local. Si se desinstala mediante líneas de comandos, se requerirán credenciales de dominio. Utilice cualquiera de los métodos siguientes para desinstalar la utilidad: ● Desinstalar desde Aplicaciones y funciones ● Desinstalar desde la línea de comandos Desinstalar desde Aplicaciones y funciones 1. En Escriba aquí para buscar en la barra de tareas, escriba Aplicaciones y funciones. 2. Haga clic con el botón izquierdo en el agente Dell Trusted Device y, a continuación, haga clic en Desinstalar. Desinstalar desde la línea de comandos En el siguiente ejemplo se desinstala Trusted Device: wmic path win32_product where (Caption like "%Dell Trusted Device%") call uninstall 22 Desinstalar Trusted Device
7 Funciones Trusted Device incluye las siguientes características. Verificación del BIOS La verificación del BIOS proporciona a los clientes una confirmación de que los dispositivos están protegidos por debajo del sistema operativo, un lugar donde la visibilidad del administrador de TI es deficiente. Permite a los clientes verificar la integridad del BIOS mediante un proceso fuera del host sin interrumpir el proceso de arranque. Una vez que el agente Trusted Device se ejecuta en el terminal, se muestra un resultado de aprobado o fallido (0 o 1) en algunas de estas ubicaciones: ● Explorador web ● Línea de comandos ● Entrada del registro ● Event Viewer ● Registros La verificación del BIOS se ejecuta cada 24 horas de manera predeterminada. Para obtener los parámetros de la línea de comandos, consulte Ejecutar el agente de verificación del BIOS. Para ver información adicional, incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados, solución de problemas y corrección. Captura de imagen Los administradores pueden tomar capturas de imágenes del BIOS manipulado o dañado para análisis y corrección. Cuando se ejecuta, el Trusted Device consulta la partición EFI (Extensible Firmware Interface) en busca de una imagen dañada o manipulada. Si se detecta una imagen, se copia de la partición EFI a %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture. Si la verificación fuera del host falla, Trusted Device copia las imágenes dañadas o manipuladas de la memoria a %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture. Los datos de captura de imagen se conservan durante 200 días. Los administradores pueden invocar la captura de imagen, configurar las ubicaciones de almacenamiento de imagen capturadas y exportar la más reciente o todas las imágenes. Cada imagen capturada se firma y nombra según lo siguiente: ● Si se copió desde la partición EFI: BIOSImageCaptureMMDDYYYY_HHMMSS.rcv ● Si se copió desde la memoria: BIOSImageCaptureBVSMMDDYYYY_HHMMSS.bv MMDDYYYY es la fecha y HHMMSS es la hora de la copia de la imagen. Para obtener los parámetros de la línea de comandos, consulte Ejecutar el agente de verificación del BIOS. Para obtener más información sobre la captura de imágenes y el registro de Windows, consulte Resultados, solución de problemas y corrección. Eventos e indicadores de ataque al BIOS Eventos e indicadores de ataque al BIOS permite a los administradores analizar eventos en el Windows Event Viewer que pueden indicar elementos dañinos que atacan los terminales empresariales del BIOS. Los elementos dañinos cambian los atributos del BIOS para obtener acceso a las computadoras empresariales de forma local o remota. Estos vectores de ataque se pueden supervisar y, luego, mitigar gracias a la capacidad de funciones de monitoreo de atributos del BIOS a través de Eventos e indicadores de ataque al BIOS. El agente de Trusted Device recopila los atributos del BIOS después de la instalación y cada 12 horas de manera predeterminada. Los datos de eventos e indicadores de ataque al BIOS se conservan durante 200 días. Se recomienda usar un producto SIEM para recuperar registros y eventos. Los administradores deben proporcionar resultados a su equipo del SOC para determinar las estrategias de corrección adecuadas. Para ver información adicional, incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados, solución de problemas y corrección. Funciones 23
Puntaje de protección de riesgos de seguridad El puntaje de protección de riesgos de seguridad permite a los administradores determinar el nivel de riesgo de seguridad de las computadoras de su empresa. Trusted Device analiza y detecta las siguientes soluciones de seguridad y asigna un puntaje por evaluación del riesgo general. ● Antivirus ● Contraseña del administrador del BIOS ● Verificación del BIOS ● Cifrado de disco ● Servidor de seguridad ● Indicadores de ataque ● Verificación de Intel ME ● Uso de TPM Trusted Device analiza la presencia y el estado de cada solución de seguridad cada 24 horas, y 15 minutos después de que se reinicia el agente Trusted Device. Para cada componente, Trusted Device registra un resultado aprobado con marca de tiempo, un resultado aprobado con advertencias o un resultado fallido, y un puntaje completo en Windows Event Viewer. Para ver información adicional, incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados, solución de problemas y corrección. NOTA: La función Eventos e indicadores de ataque al BIOS debe ser compatible con la computadora de destino que se incluirá en el cálculo del puntaje de protección de riesgos de seguridad. Verificación de Intel ME Intel Management Engine (Intel ME) es una microcontroladora independiente incorporada en los chipsets del procesador Intel fabricados a partir del 2008. Intel ME proporciona una interfaz entre el sistema operativo, el hardware y el BIOS. Además, a Intel ME se le otorga un amplio privilegio a nivel de sistema y se ejecuta en cada estado de alimentación. El agente Trusted Device analiza y verifica que el firmware de Intel ME esté presente y sin obstáculos después de la instalación inicial, el inicio y cada 24 horas. Para ver información adicional, incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados, solución de problemas y corrección. 24 Funciones
8 Interoperabilidad El agente Dell Trusted Device se puede interoperar con otros productos y servicios para garantizar que las computadoras estén protegidas en el nivel del BIOS. SIEM Las soluciones de Security Information Event Management (SIEM) agregan datos de múltiples orígenes en su empresa. SIEM permite a los administradores identificar tendencias y comportamiento inusual o realizar un análisis en tiempo real de las alertas generadas por las aplicaciones y el hardware. Los datos agregados a través de SIEM se pueden transformar en tablas y gráficos en un panel para facilitar el uso. Esto ayuda a los administradores a garantizar que la empresa mantenga el cumplimiento de normas de seguridad y la protección contra elementos dañinos. Trusted Device se puede interoperar en soluciones SIEM y soporta las siguientes funciones: ● Verificación del BIOS ● Eventos e indicadores de ataque al BIOS ● Captura de imagen ● Puntaje de protección de riesgos de seguridad Dell Event Repository debe estar instalado para entregar los resultados del Trusted Device a una solución SIEM. Consulte Descargar Event Repository para descargar la imagen de Docker. Requisitos La interoperación de Trusted Device en soluciones SIEM requiere lo siguiente: ● Docker ● Imagen de Event Repository del Trusted Device ● Trusted Device v3.6 o posterior ● Reenviador de SIEM universal Requisitos A continuación, se detallan los requisitos de instalación de Event Repository de Trusted Device. Arquitectura En el siguiente diagrama, se describen los pasos de implementación y el flujo de datos del agente Trusted Device a una solución SIEM. Interoperabilidad 25
Descargar e instalar Docker Event Repository requiere Docker. Vaya a https://docs.docker.com/get-docker/ para descargar e instalar Docker. NOTA: Si va a instalar Docker en Windows, consulte este artículo de Microsoft a fin de configurar el Subsistema de Windows para Linux (WSL). Crear el directorio persistente Event Repository requiere almacenamiento persistente que se comparte entre el host de Docker y el contenedor de Docker de Event Repository para almacenar datos de certificados y Trusted Device. Antes de instalar Event Repository, copie el certificado de firma, la clave privada, el certificado de TLS y la clave privada de TLS en la carpeta C:\eventrepository\Certs. Los siguientes son ejemplos de las carpetas necesarias para el almacenamiento de datos persistentes creados en el host de Docker: ● C:\eventrepository ● C:\eventrepository\Certs ● C:\eventrepository\Data Configurar el archivo appsettings.json El archivo appsettings.json requiere modificaciones para que Event Repository se comunique correctamente con la instancia de Docker. En la siguiente tabla, se detallan los elementos de nivel superior del archivo appsettings.json: Nombre Obligatorio Descripción Registro No Permite a los administradores configurar los métodos con los cuales Event Repository genera los registros. Grupo de usuarios Sí Configuración de la información del grupo de usuarios para esta instancia de Event Repository. Cargar Sí Configuración del método de carga de SIEM. 26 Interoperabilidad
Grupo de usuarios El elemento Grupo de usuarios configura Event Repository con información del grupo de usuarios. En la información del grupo de usuarios, se detalla la configuración necesaria para controlar qué equipos pueden registrarse con esta instancia de Event Repository. En la siguiente tabla, se detallan los elementos del objeto de Grupo de usuarios: Nombre Obligatorio Descripción TenantName Sí El nombre del grupo de usuarios. Por lo general, esto se basa en el nombre o la división de la empresa. TenantName debe ser único en una organización. TenantApiKey Sí TenantApiKey es una cadena que representa una contraseña que una computadora debe proporcionar durante el registro. TenantUUID Sí Una cadena que representa un GUID único para este grupo de usuarios. NOTA: Para crear un GUID en Windows PowerShell, utilice el comando new-guid. Para obtener más información, consulte este artículo de Microsoft. SigningCertificate Sí También conocido como Certificado de grupo de usuarios. Este certificado se utiliza para firmar el certificado de identidad que se genera durante el registro. JwtCertificate Sí Toda la cadena de certificados utilizada para validar los tokens de portador que generan las computadoras. SigningCertficate El elemento SigningCertificate requiere las siguientes entradas: ● Certificado de firma ● Clave privada asociada con el certificado de firma En la siguiente tabla, se detalla el miembro que se utiliza para describir el certificado y la clave privada: Nombre Descripción IssuerPublicCertsPem Proporcione una de las dos opciones. Para IssuerPublicCertsPem, la cadena es el certificado X509 codificado en PEM con líneas nuevas IssuerPublicCertsFile reemplazadas por caracteres '\n'. Para IssuerPublicCertsFile, la cadena es la ruta al archivo que contiene el certificado X509 codificado en PEM. IssuerPrivateKeyPem Proporcione una de las dos opciones. Para IssuerPrivateKeyPem, la cadena es la clave privada codificada en PEM asociada con IssuerPrivatekeyFile IssuerPublicCert. Para IssuerPrivateKeyFile, la cadena es la ruta al archivo que contiene la clave privada codificada en PEM. En ambos casos, la clave privada no debe estar protegida con contraseña. Cargar En el elemento de Carga, se detalla la conexión a la solución SIEM. En la siguiente tabla, se detallan los componentes de Carga: Nombre Obligatorio Descripción BaseFileName Sí Una cadena que contiene un componente definido por el usuario del nombre de archivo utilizado para los archivos de registro. El nombre del archivo es - TenantName-BaseFileName.log OutputLocation Sí La ruta que indica la carpeta donde se escriben los archivos de registro de resultado. MaxFileSizeMb Sí El tamaño máximo al que puede aumentar un archivo de registro. Cuando un archivo de registro supera esta cantidad, se cierra y se crea un nuevo archivo de registro. Interoperabilidad 27
Nombre Obligatorio Descripción MaxActiveFileDays Sí La cantidad máxima de tiempo, especificada en días, para la cual se puede abrir un archivo de registro. Cuando el archivo de registro está abierto durante más tiempo que el tiempo especificado, se cierra y se abre un nuevo archivo de registro. MaxFileAge Sí Los archivos de registro de tiempo persisten en la carpeta de resultado. Los archivos anteriores a este período, especificados en días, se eliminan. El elemento Kestrel detalla la conexión de TLS. En la siguiente tabla, se detallan los componentes de Kestrel: Nombre Obligatorio Descripción Extremos Sí Detalles de los puertos de escucha del contenedor. Protocolo HTTP/ Sí Definiciones de protocolo para los puertos de escucha HTTPS docker. Base de rutas Sí Ruta de acceso relativa de URI con respecto al contenedor (/devicesvr/api/v1). URL Sí El protocolo de contenedor y el puerto de escucha (https://*:5001"). Certificado Sí Detalles del certificado que se utiliza para las conexiones TLS en el contenedor. Ruta de acceso La ubicación del certificado de PKCS12 (/app/certs/ test.pfx). Contraseña Sí Contraseña del certificado de PKCS12. Para usar la utilidad incluida con la imagen de Docker de Event Repository, consulte este capítulo. Utilice un editor de texto para configurar los elementos requeridos. Consulte appsettings.json a continuación con ejemplos configurables en negrita/cursiva: { "https port":443, "Logging": { "LogLevel": { "Default": "Information", "Microsoft": "Warning", "Microsoft.Hosting.Lifetime": "Information" } }, "Tenant": { "TenantName": "ExampleTenant", "TenantApiKey": "ExampleTenantKey", "TenantUUID": "5568165d-216a-4631-a115-80de74f294fd", "SigningCertificate": { "IssuerPublicCertsPem": "ExampleCertificate or Docker container path to the public key certificate", "IssuerPrivateKeyPem": "ExampleCertificate or Docker container path to the private key" }, "JwtCertificate": { "TrustedRootsPem": "ExampleCertificate or or the Docker container path to the trust chain of the signing certificate " } }, "Upload": { "BaseFileName": "SIEM_Output", "OutputLocation": "/var/dataEventRepository", "MaxFileSizeMb": 15, "MaxActiveFileDays": 1, "MaxFileAge": 3 } }, "Kestrel": { "Endpoints": { "Http": { "PathBase": “/devicesvc/api/v1”, 28 Interoperabilidad
"Url”: “http://*:5000” }, "Https": { "PathBase": “/devicesvc/api/v1", "Url": "http://*:5001", "Certificate": { "Path": "/app/certs/test.pfx", "Password": “Password@123" } } } } } Transfiera el archivo appsettings.json al directorio persistente después de modificar los valores anteriores. Configurar el agente Trusted Device El agente Trusted Device requiere valores de registro personalizados para entregar datos al Event Repository. Cree o modifique los siguientes valores de registro a fin de configurar el agente Trusted Device para su uso con Event Repository: ● HKLM\Software\Dell\DellTrustedDevice\Overrides NOTA: Esta clave de registro está protegida contra la manipulación en el nivel de administrador. Dell recomienda implementar estos valores de registro antes de instalar el agente Trusted Device en la computadora de destino. NOTA: Los valores especificados en estas entradas de registro deben coincidir con las entradas de configuración appsettings.json. Modifique los siguientes valores de registro según la configuración de Event Repository. ● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Registration] "Tenant"="ExampleTenant" "TenantApiKey"="ExampleTenantKey" "TenantId"="5568165d-216a-4631-a115-80de74f294fd" "Uri"="https://example.server.com:31235/siem/api/v1" NOTA: Debe ser una conexión HTTPS. NOTA: El servidor example.server.com debe ser de confianza. El nombre de host debe coincidir, la cadena de confianza debe ser de confianza y la fecha debe ser válida. "RootCertificate"="ExampleCertificate" Interoperabilidad 29
● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection] "Uri"="https://example.server.com:31235/siem/api/v1" NOTA: Debe ser una conexión HTTPS. NOTA: El servidor example.server.com debe ser de confianza. El nombre de host debe coincidir, la cadena de confianza debe ser de confianza y la fecha debe ser válida. "RootCertificate"="ExampleCertificate" Configurar para reenviar datos a una solución SIEM Las soluciones SIEM a menudo requieren una utilidad para consumir orígenes de datos. El reenviador universal de Splunk es una solución ligera de reenvío que se puede configurar para su uso con Event Repository durante o después de la instalación. En el siguiente ejemplo, se proporciona la referencia de instalación y configuración para el reenviador universal de Splunk a fin de migrar datos de Event Repository a una instancia de SIEM de Splunk. Utilice uno de los siguientes artículos para instalar un reenviador universal en función del entorno en el que está instalado Event Repository: ● Para instalar un reenviador universal en Windows, consulte este artículo de Splunk. ● Para instalar un reenviador universal en Linux, Solaris, macOS, FreeBSD o AIX, consulte este artículo de Splunk. Después de la instalación, consulte este artículo de Splunk a fin de configurar el reenviador universal para su uso con Event Repository. Después de instalar Docker y configurar los requisitos previos, vaya a Ejecutar Event Repository. Descargar la imagen de Event Repository Utilice el siguiente flujo de trabajo para descargar la imagen de Event Repository: 1. Asegúrese de que Docker esté instalado y en ejecución en la computadora de destino. 2. Vaya a https://hub.docker.com/r/dellemc/dtd-event-repository e inicie sesión con sus credenciales de Docker. 3. Descargue la imagen de dtd-event-repository 4. Vaya a la ubicación de descarga de imágenes de dtd-event-repository y abra la aplicación PowerShell o Terminal. 5. Ingrese el siguiente comando para instalar Event Repository: docker pull dellemc/dtd-event-repository Entornos desconectados Si la solución SIEM está configurada en modo Desconectado, consulte los siguientes artículos: ● Vaya a este artículo de Docker a fin de ver los pasos para guardar una imagen de Docker para su uso posterior. ● Vaya a este artículo de Docker para ver los pasos a fin de cargar una imagen de Docker guardada anteriormente. Ejecutar Event Repository Después de descargar la imagen de Docker, se debe inicializar Event Repository para comenzar a recopilar datos de los agentes. Consulte este artículo de Docker para obtener más información sobre los comandos de ejecución de Docker. En la siguiente tabla, se detallan las variables basadas en Docker necesarias para configurar el contenedor de Event Repository: Variable Significado -d Ejecute el contenedor de Docker en modo desconectado. dellemc/dtd-event-repository Define la imagen del contenedor que se usará para este contenedor. NOTA: Si se requiere una versión específica de la imagen de Event Repository, agregue este comando con :. Por ejemplo: dellemc/dtd- event-repository:1.0.2.0 30 Interoperabilidad
Variable Significado -it Inicia una sesión interactiva de línea de comandos conectada al contenedor de Docker. -P Especifica los puertos utilizados para el contenedor. --rm Elimina automáticamente el contenedor cuando sale. -u nobody Contexto de usuario no elevado recomendado en el que se ejecuta el contenedor. -v Permite la creación de un volumen compartido entre el host de Docker y el contenedor de Docker. ● En el siguiente ejemplo, se inicia el contenedor de Event Repository en un contexto de usuario no elevado y se asigna C:\eventrepository\Data en el equipo host a /app/appsettings.json en el contenedor y se configura el host de escucha en el puerto 31235 mientras se utiliza el puerto 5001 en el contenedor. NOTA: En este ejemplo, se recupera la imagen de Docker más reciente si no está presente en la computadora de destino. docker run -it –rm -d -p31235:5001 -v c:\eventrepository\appsettings.json:/app/ appsettings.json -v c:\eventrepository\Data:/var/data -v C:\eventrepository\certs:/app/certs -u nobody dellemc/dtd-event-repository Solución de problemas Compruebe lo siguiente si la instancia de Event Repository no se comunica correctamente con el equipo host. ● Asegúrese de que la conexión de red esté activa. ● Asegúrese de que el contenedor de Docker se esté ejecutando mediante el siguiente comando: docker container ps Si el contenedor está en ejecución, se muestran los siguientes detalles: ○ ID del contenedor ○ Imagen ○ Comando ○ Creado ○ Estado ○ Puertos ○ Nombres ● Asegúrese de que el contenedor de Event Repository esté configurado correctamente en el archivo appsettings.json. Consulte Configurar el archivo appsettings.json para obtener más información. ● Abra un navegador en el host de Event Repository e ingrese http://:/health. Si el equipo host puede comunicarse correctamente con la instancia de Event Repository a través del puerto especificado, se muestra un estado en Buen estado en el navegador. NOTA: Asegúrese de utilizar HTTP en esta evaluación del estado, ya que HTTPS no se resolverá. Carbon Black Introducción Carbon Black Cloud incorpora datos de Trusted Device para actividades de creación de informes y corrección. Requisitos previos Para la integración de Trusted Device con Carbon Black Cloud se requiere lo siguiente: Interoperabilidad 31
● Windows 10 (64 bits) ● Agente Carbon Black ● Agente Dell Trusted Device ● Plataformas compatibles con Trusted Device Live Query Live Query permite a los equipos de seguridad consultar e informar el estado del BIOS para determinar si está en riesgo. La integración de Live Query con Trusted Device está disponible con el servicio de auditoría y corrección de Carbon Black (anteriormente LiveOps). Carbon Black ahora recomienda la consulta del Estado de verificación de Dell SafeBIOS que informa sobre el estado de verificación del BIOS de cada terminal por grupo de sensores. Para obtener información específica sobre cómo obtener acceso a este punto, consulte la Documentación de carbono negro. Live Response En circunstancias en las que la verificación de SafeBIOS reporta una falla, el agente Trusted Device captura automáticamente la imagen del BIOS para su uso en la investigación del terminal. Carbon Black Live Response se puede utilizar para recuperar las imágenes del BIOS capturadas, independientemente del estado de cuarentena de un terminal. La integración de Live Response con Trusted Device está disponible con todos los productos Carbon Black. Estos comandos e instrucciones de implementación están disponibles para descarga en Carbon Black GitHub. 32 Interoperabilidad
9 Ejecutar el Agent de verificación del BIOS Utilice cualquiera de los métodos siguientes para ejecutar el agent: ● De manera interactiva ● Línea de comandos NOTA: Si intenta ejecutar el agente de Verificación del BIOS en una plataforma no admitida, se muestra Plataforma no compatible. NOTA: Trusted Device determina el soporte de la plataforma Dell durante el tiempo de ejecución. NOTA: Si instala Trusted Device con accesos directos, vaya a Start > Dell y haga clic en el agente Dell Trusted Device para ejecutar el agente. NOTA: Si instala Trusted Device sin accesos directos, vaya a C:\Program Files\Dell\BiosVerification y haga doble clic en Dell.SecurityCenter.Agent.Console para ejecutar el agente. Ejecutar el Agent de Verificación del BIOS por programa Para programar la ejecución del agente de verificación del BIOS en intervalos establecidos o para activar la ejecución por eventos, consulte la documentación del programador de tareas de Microsoft aquí. Ejecutar el Agent de Verificación del BIOS de manera interactiva 1. Haga doble clic en el agente Dell Trusted Device. 2. Si el control de cuentas de usuario está habilitado, haga clic en Sí para continuar. Ejecutar el Agent de verificación del BIOS 33
3. Un navegador se inicia automáticamente y se muestran los resultados del BIOS. 34 Ejecutar el Agent de verificación del BIOS
NOTA: Si la utilidad no puede determinar el estado del BIOS, no se mostrarán resultados basados en navegador. Consulte Resultados, solución de problemas y corrección para obtener los códigos de error. Ejecutar el Agent de Verificación del BIOS con la línea de comandos En la siguiente tabla se detallan los argumentos opcionales de la línea de comandos. Parámetros Significado -imagecapture Copia la imagen capturada del BIOS en la ubicación predeterminada o especificada -export Exporta la imagen más reciente a una ubicación especificada -exportall -export Exporta todas las imágenes a una ubicación especificada. -updateimagestore Modifica la ubicación de almacenamiento de imágenes predeterminada -headless Suprime el resultado del navegador y muestra los resultados en la ventana de la línea de comandos Ejecutar el Agent de verificación del BIOS 35
También puede leer