![LOGO_STOIK_WHITE.png]](https://help.stoik.io/hs-fs/hubfs/LOGO_STOIK_WHITE.png?height=40&name=LOGO_STOIK_WHITE.png){kind=logo}
Gestion des flux métiers : règles d'exclusions avec un EDR (es)
La gestión de los flujos de aplicaciones mediante reglas de exclusión es un enfoque propio de los antivirus tradicionales, pero no se aplica a un EDR como CrowdStrike o SentinelOne.
- Diferencia de funcionamiento entre antivirus y EDR
- Prevención inteligente y gestión reactiva de las exclusiones
- Las exclusiones no deben hacerse por adelantado
1. Diferencia de funcionamiento entre antivirus y EDR
- Antivirus: analiza de forma proactiva todos los archivos inactivos del sistema (se ejecuten o no).
- Esto genera un volumen importante de análisis y requiere numerosas exclusiones para evitar falsos positivos sobre archivos inactivos.
- EDR (CrowdStrike, SentinelOne): se centra únicamente en los archivos realmente ejecutados y en los comportamientos dinámicos del sistema (procesos, conexiones, acciones de los usuarios, etc.).
- No se realiza ningún escaneo masivo de todo el disco de forma continua.
- Los archivos inactivos no se analizan (salvo escaneo manual).
Concretamente, como el EDR analiza los comportamientos sospechosos y no las firmas (como hace un antivirus), no tiene sentido excluir una carpeta del análisis.
⚠️ Al contrario, esto tendría un efecto perjudicial: el día que se produzca un comportamiento sospechoso en esa carpeta, el EDR no podrá detectarlo.
Esto sigue siendo técnicamente posible si la necesidad está validada por nuestros equipos SOC.
2. Prevención inteligente y gestión reactiva de las exclusiones
CrowdStrike integra una serie de mecanismos preventivos para limitar los falsos positivos sin intervención manual:
- Listas de exclusión preconfiguradas se aplican automáticamente durante el despliegue.
- En caso de detección dudosa en una aplicación empresarial, el programa es:
- Temporalmente bloqueado
- Luego analizado por nuestro SOC antes de cualquier acción definitiva
❗ Para evitar posibles interrupciones empresariales no deseadas, el aislamiento completo se realiza únicamente de forma manual tras el análisis por parte de nuestro equipo SOC, o por usted.
3. Las exclusiones no deben hacerse por adelantado
Intentar anticipar las exclusiones antes incluso de la detección representa un riesgo importante:
- Esto equivale a excluir por adelantado comportamientos potencialmente maliciosos, simplemente porque están asociados a un software empresarial conocido.
- Resultado: corre el riesgo de neutralizar la capacidad de detección del EDR, dejando pasar ciertos ataques desapercibidos.
👉 En Stoïk, las exclusiones se gestionan únicamente en reacción a una detección real, basándose en el análisis del SOC.
Más información sobre la configuración del EDR por el SOC Stoïk
Conclusión: las exclusiones en un EDR son mucho menos numerosas y se realizan únicamente cuando se detecta un bloqueo.
No es necesario ni deseable añadir reglas de exclusión "preventivas" como con un antivirus clásico.
Ejemplo concreto: Uno de nuestros clientes (actor nacional de la distribución) tenía más de 3.000 puestos, con varios miles de exclusiones en su antivirus anterior.
➡️ Con CrowdStrike: no ha sido necesaria ninguna exclusión.