Ir directamente al contenido
Español
Stoïk
  • No hay sugerencias porque el campo de búsqueda está vacío.

¿Cómo desplegar la opción Device Control de CrowdStrike?

El módulo Device Control permite controlar el uso de los dispositivos USB (llaves, discos duros, etc.). Concretamente, Device Control le permite crear una "Policy" para dispositivos USB: usted define reglas generales que autorizan o bloquean los dispositivos USB según su clase.

Lo que es posible:

  • Configuración por tipo de dispositivo
    Realizado con las "Policy" de CrowdStrike, ya sea por usted o por el SOC Stoïk.

  • Configuración de exclusiones (puesto, dispositivo)
    Puede realizarse con el permiso de usuario "Device Manager".

Lo que no es posible: configuración por end-point
De hecho, esto requeriría asignar cada end-point a "groups" específicos.

Por ejemplo, puede crear una Policy para bloquear los lectores de almacenamiento USB, pero permitir el acceso a otras clases de dispositivos USB.


  1. Implementación por el equipo de Stoïk
  2. Implementación autónoma
  3. Despliegue de las policies

1. Implementación por el equipo de Stoïk

1.a. Definir sus objetivos de control

Determine lo que desea aplicar:

  • ❌ Bloquear todos los dispositivos USB
  • 👁️ Poner los dispositivos en modo solo lectura
  • ✅ Autorizar únicamente ciertos modelos
  • 📊 Supervisar / auditar el uso sin bloquear (modo observación)

1.b. Realizar el inventario de los dispositivos autorizados o a bloquear

Para cada llave o dispositivo que desee autorizar o bloquear:

  1. Conéctelo a un puesto
  2. Recupere sus identificadores de hardware (procedimiento Windows a continuación):
    1. Manualmente, por la interfaz gráfica
      1. Administrador de dispositivos > Dispositivo USB
      2. Clic derecho > Propiedades > Detalles > ID de hardware
    2. Automáticamente, por la consola PowerShell Get-PnpDevice -PresentOnly | Where-Object { $_.Class -eq "USB" }

  • Transmita la información al equipo Stoïk a protect@stoik.io

    • Vendor ID (VID)

    • Product ID (PID)

    • Número de serie (si aplica)

1.c. Implementación por el equipo de Stoïk

Un ingeniero de ciberseguridad de Stoïk configura las reglas y le comunica cuando la configuración está realizada.

2. Implementación autónoma

Para una implementación autónoma, solicite un acceso "Device Control Manager" a su consola CrowdStrike por correo a protect@stoik.io

  1. Acceda a Endpoint security > USB device control > Policies.
  2. Haga clic en Create policy.
    1. Ingrese un nombre y una descripción (opcional) para su Policy.
    2. Para validar, haga clic en Create policy.
  3. En la pestaña Settings,
    1. Seleccione el modo a utilizar: Monitor; Monitor and enforce; Off (solo para Mac)
    2. Para incluir los dispositivos USB en la Policy, active los parámetros USB deseados.
      1. Seleccione la notificación para informar a los usuarios finales cuando el dispositivo USB esté totalmente bloqueado.
      2. Seleccione la notificación para informar a los usuarios finales cuando el dispositivo USB esté restringido.

Los modos mencionados anteriormente corresponden a diferentes configuraciones de la opción Device Control; existen 3 posibilidades:

  • Monitor and enforce: Aplica activamente las reglas definidas: bloquea o autoriza las conexiones USB y registra las conexiones. Permite seguir los intentos de conexión y bloquear los no autorizados.

  • Monitor only: Registra las conexiones y acciones sin aplicar restricciones. Modo ideal para probar sus políticas inicialmente sin interrumpir a los usuarios.

  • Off (solo macOS): Desactiva completamente la protección Device Control, no se registrará ni bloqueará nada.

El uso de una política en Monitor only es un medio eficaz de establecer con precisión la lista de dispositivos USB utilizados habitualmente por sus colaboradores. Esta lista puede servir luego como base para una lista blanca de dispositivos autorizados.

  1. Acceda a la pestaña USB device.
    1. Para seleccionar las clases de dispositivos USB a incluir en la política, acceda a la pestaña «USB Device».
      1. Haga clic para mostrar cada clase de dispositivo a incluir.
      2. Elija el nivel de autorización para cada clase de dispositivo.
      3. Agregue excepciones por clase si es necesario, haciendo clic en "Add exception". Ingrese el puerto USB ya sea por su combined ID, o mediante una entrada manual.

    2. Haga clic arriba a la derecha en «Save», luego de nuevo en «Save» para confirmar.
  2. Acceda a la pestaña Assigned host groups
    1. Haga clic en «Assign host groups to policy»
  3. Una vez finalizada la configuración, haga clic en «Enable policy»

 

💡 Para acelerar la configuración de estrategias similares, haga clic en «Duplicar la estrategia» para crear una copia exacta. Luego abra la copia y modifique el nombre, los parámetros, los niveles de autorización y las excepciones según sus necesidades.

3. Despliegue de las Policies

  • Windows: Las Policy de los dispositivos se aplican en cuanto un dispositivo USB se conecta a un host. Si hay dispositivos USB conectados a un host en el momento de asignar una Policy, estos dispositivos solo se verán afectados en su próxima reconexión o en el próximo reinicio del host.

  • macOS: Las Policy de los dispositivos se aplican en cuanto un dispositivo USB o Bluetooth se conecta a un host. Si hay dispositivos USB o Bluetooth conectados a un host en el momento de asignar una Policy, esta se aplica de inmediato. Es decir, si la política bloquea este dispositivo, será desconectado.