Se aplica A: WatchGuard EDR Core
WatchGuard EDR Core está incluido en la licencia Total Security Suite del Firebox. EDR Core incluye un subconjunto de funciones de WatchGuard EDR y admite capacidades XDR a través de ThreatSync. Puede instalar EDR Core junto con productos de endpoint de terceros para detectar y protegerse contra ataques sin archivos y sin malware, incluidos ransomware y APT. EDR Core también incluye protección antimanipulación y antiexploit, así como detecciones contextuales, archivos señuelo y validación de VPN.
Para obtener información sobre ThreatSync, vaya a Acerca de ThreatSync.
EDR Core incluye un subconjunto de funciones disponibles con WatchGuard EDR y es un reemplazo para el Host Sensor Threat Detection and Response (TDR). EDR Core no incluye firewall, antivirus, accesos web o control de dispositivos, instantáneas (shadow copies) ni bloqueo de programas. Debe actualizar a WatchGuard Advanced EPDR o EPDR para aprovechar estas funciones, el servicio Zero-Trust Application Service y los módulos de seguridad de endpoints. Cuando compra y activa Passport o una licencia de suscripción de seguridad de endpoints para WatchGuard EPDR, la licencia EDR Core existente con Total Security Suite se actualiza automáticamente a WatchGuard EPDR. La licencia EDR Core queda inactiva. Para obtener información sobre cómo actualizar su licencia EDR Core a WatchGuard EPDR, vaya a Activar una Licencia de Endpoint Security.
EDR Core admite estas plataformas de cliente:
- Windows (Intel y ARM)
- Linux
- macOS (Intel y ARM)
Para obtener más información, vaya a Requisitos de Instalación (externo) en las Notas de Versión de WatchGuard Endpoint Security.
Funciones Básicas de EDR Core
Puede crear perfiles de ajustes de seguridad en EDR Core similares a los perfiles que crea en WatchGuard EDR. Para más información, vaya a Administrar Ajustes.
Estas funciones básicas están disponibles con EDR Core y puede asignarlas a sus endpoints a través de perfiles de ajustes de seguridad:
- Protección antimanipulación
- Visibilidad del hardware y el software de un endpoint
- Reinicio y reinstalación remotos del agente de endpoint y del software de protección en los endpoints
- Aislamiento de un endpoint
- Descubrimiento de endpoints desprotegidos
- Seguimiento de las acciones del usuario en la UI de administración de Endpoint Security
Si planea utilizar EDR Core con software antivirus de terceros, debe agregar exclusiones tanto en el producto de terceros como en EDR Core para asegurarse de que no se superpongan ni creen detecciones falsas. Para obtener información sobre cómo crear exclusiones en EDR Core, vaya a Crear Exclusiones en WatchGuard Endpoint Security.
Funciones de Seguridad de EDR Core
Las funciones de seguridad de EDR Core son similares a las incluidas en WatchGuard EDR. Estas funciones de seguridad están disponibles con EDR Core:
- Detecciones contextuales, incluidas las detecciones de Host Ransomware Prevention
- Archivos señuelo (Decoy files)
- Búsqueda de Collective intelligence y APT Blocker (los programas que se ejecutan se envían a la nube y se ejecutan en nuestro sandbox para detectar amenazas desconocidas)
- Protección anti-exploit
- Modo auditoría solo en endpoints (Los modos Hardening y Lock requieren el Zero-Trust Application Service, que no está disponible en EDR Core).
- Bloqueo (EDR Core no admite la desinfección).
- Aplicación de la VPN
Estas funciones de seguridad no están disponibles en EDR Core:
- Control de acceso web
- Firewall
- Antivirus
- Instantáneas (Shadow copies)
- Control de dispositivos
- Zero-Trust Application Service (EDR Core no clasifica aplicaciones desconocidas.)
- Tareas de escaneo
- Bloqueo de programas
- Software autorizado
Comparación de Funciones
Para aprovechar el servicio Zero-Trust Application Service, el antivirus, los módulos de seguridad de endpoints como Full Encryption y Patch Management, y otras funciones enumeradas en esta tabla, le recomendamos que actualice EDR Core a WatchGuard EPDR.
| EDR Core | EDR | EPDR | Advanced EPDR | |
|---|---|---|---|---|
| Aplicación de la VPN | ✓ | ✓ | ✓ | ✓ |
| Detecciones de productos cruzados (ThreatSync) | ✓ | ✓ | ✓ | ✓ |
| Acciones de respuesta: Poner en cuarentena, detener o aislar (ThreatSync) | ✓ | ✓ | ✓ | ✓ |
| Detecciones contextuales (malware sin archivos) | ✓ | ✓ | ✓ | ✓ |
| Anti-exploit | ✓ | ✓ | ✓ | ✓ |
| Servicio Threat Hunting y IOA | Parcial | ✓ | ✓ | ✓ |
| Desinfección tras ataque bloqueado | × | ✓ | ✓ | ✓ |
| Detectar malware cuando se copian o descargan archivos | × | × | ✓ | ✓ |
| Zero-Trust Application Service | × | ✓ | ✓ | ✓ |
| Evaluación de vulnerabilidades | × | ✓ | ✓ | ✓ |
| Protección contra Ataques de Red | × | ✓ | ✓ | ✓ |
| Instantáneas copies | × | ✓ | ✓ | ✓ |
| Control de dispositivos | × | × | ✓ | ✓ |
| Firewall incluye IDS, reglas de aplicación y reglas de sistemas | × | × | ✓ | ✓ |
| filtrado de URL | × | × | ✓ | ✓ |
| Anti-phishing | × | × | ✓ | ✓ |
| Protección Web | × | × | ✓ | ✓ |
| Protección móvil (Android e iOS) | × | × | ✓ | ✓ |
| Políticas de seguridad avanzada | × | × | × | ✓ |
| IOC y reglas Yara | × | × | × | ✓ |
| Acceso remoto a través del símbolo del sistema | × | × | × | ✓ |
| Detección de IOAs Avanzados (MITRE TTPs) | × | × | × | ✓ |
| Módulos opcionales (Patch Management, Full Encryption y ART) | × | ✓ | ✓ | ✓ |