Por más información que recopile la mayoría de las herramientas de seguridad corporativa sobre el endpoint, al final solo reporta. Durante un incidente, el equipo IT descuelga el teléfono y llama al usuario, le pide que apague el dispositivo. Pasan horas, el atacante sigue en la red.
El mismo problema existe en la operación distribuida. Cuando se quiere aplicar una nueva política a todo el inventario de dispositivos, las herramientas clásicas empujan un archivo, esperan que el usuario reinicie y no saben durante días en qué dispositivo se completó la tarea.
Esta brecha es el abismo entre el monitoreo pasivo y la gestión activa. Las capacidades de acción remota de ETM cierran este abismo: el comando se transmite al dispositivo a través del agente por un canal seguro, el resultado vuelve en vivo, se mantiene la pista de auditoría.
TR7 ETM opera a través de un único agente desde el monitoreo hasta la gestión del dispositivo; la acción está siempre bajo política y auditoría.
El operador o el analista SOC ejecuta una consulta estructurada para consultar el estado actual del inventario: '¿en qué dispositivos está instalado este software?', '¿quién se conecta a esta IP?', '¿en qué dispositivo se reinició la Protección frente a Amenazas en el Dispositivo (EDR) en los últimos 5 minutos?'. La respuesta se recopila en segundos.
El operador autorizado puede transmitir comandos a dispositivos específicos o a todo el inventario de dispositivos: reiniciar servicio, instalar parche de software, cambiar configuración, obtener archivo, colocar archivo. Todas las acciones se registran en la pista de auditoría.
Ante un incidente o una detección de alto riesgo, el dispositivo puede separarse de la red — se bloquea el acceso a internet, solo se mantiene abierto el canal de gestión de ETM. Se cierra el margen de movimiento lateral del atacante; el dispositivo sigue siendo examinado de forma remota.
Para cada comando se auditan la identidad del usuario autorizado, el motivo de la acción y la selección de objetivo. Para las acciones de alto riesgo puede definirse una cadena de aprobación; la solicitud de un operador puede no aplicarse sin la aprobación de otro operador.
La acción remota es la capa de gestión activa de ETM para los equipos de incident response, operaciones y cumplimiento.
Con un lenguaje de consulta estructurado se consultan miles de dispositivos de una sola vez. Consultas del tipo '¿en qué dispositivos está apagado el cifrado de disco?', '¿qué dispositivos usan el driver de esta versión?', '¿hay dispositivos en los que se haya creado una nueva cuenta de administrador en las últimas 24 horas?' devuelven respuesta en segundos.
Con la aprobación del operador puede ejecutarse un script predefinido o un comando controlado del sistema en el dispositivo. Operaciones rutinarias como reiniciar un servicio, recopilar logs, aplicar una corrección temporal o realizar un cambio de registry/plist se realizan de forma remota.
Los paquetes de parcheo, los archivos de configuración o los archivos de log/dump necesarios para forense pueden subirse y obtenerse del dispositivo. Toda la transferencia se realiza a través del canal seguro de ETM; no es necesario establecer un recurso compartido de archivos directo.
El analista SOC o la automatización de política puede finalizar un proceso determinado en un solo dispositivo o en todo el inventario de dispositivos. Es posible prevenir al instante la propagación de software sospechoso, la ejecución de un servicio inesperado o un proceso de alto consumo de recursos.
Un dispositivo puede aislarse de la red por motivo de incidente, alarma de Protección frente a Amenazas en el Dispositivo (EDR) o violación de política. Durante el aislamiento se bloquean el acceso a internet, los recursos de red internos y las conexiones de servicio; solo se mantiene abierto el canal de gestión de ETM. El SOC sigue examinando el dispositivo de forma remota.
Una nueva regla de firewall, una nueva confianza de certificado o una política de auditoría modificada se transmite a todo el inventario de dispositivos desde una única definición central. El estado de aplicación en cada dispositivo se monitorea en vivo; las aplicaciones fallidas pueden reintentarse automáticamente o reportarse al operador.
Los dispositivos a los que se aplicará la acción pueden seleccionarse no según grupos estáticos, sino según criterios dinámicos. Resultados de consulta en vivo como 'todos los dispositivos Linux', 'dispositivos del equipo financiero', 'dispositivos en los que se ha detectado no conformidad en la última hora' se convierten directamente en la lista de objetivos.
Para las acciones de alto riesgo — borrado de archivos en todo el inventario de dispositivos, reinicio de servicio principal, aislamiento de red — puede definirse una cadena de aprobación doble o múltiple. La solicitud de un operador no se aplica sin la aprobación de otro operador autorizado.
Después de enviar el comando, la respuesta de cada dispositivo se muestra en vivo: exitoso, fallido, sin conexión, en espera. El operador ve en segundos en qué dispositivo se completó la tarea; para las tareas no completadas se dirige un reintento o una intervención manual.
Quién, cuándo, a qué dispositivo, qué comando, con qué justificación envió — cada acción se escribe en la pista de auditoría. La salida del comando y la respuesta del dispositivo se almacenan correlacionadas. El registro de auditoría puede transferirse al SIEM y usarse como evidencia en los procesos de auditoría.
La acción remota se integra en los flujos de trabajo diarios de los equipos de seguridad y operaciones — incluidos paleta de comandos, automatización, auditoría y reportes.
Puede definirse qué operador puede aplicar qué acciones a qué grupo de dispositivos. El analista SOC puede acceder a las acciones de incident response; el operador IT puede acceder a las acciones de parcheo y configuración; los operadores limitados solo pueden ejecutar consultas.
Las acciones que se repiten con frecuencia pueden almacenarse como playbook: 'cuando el agente de Protección frente a Amenazas en el Dispositivo (EDR) se detiene → aísla el dispositivo + notifica al SOC + obtén el dump de logs de las últimas 24 horas'. El playbook puede vincularse como disparador a los eventos de ETM.
Para un dispositivo que está sin conexión en el momento del comando, la acción se pone en cola. Cuando el dispositivo se vuelve a conectar, los comandos pendientes se aplican automáticamente; el resultado se reporta al operador. El tiempo de espera en cola puede limitarse mediante política.
Las acciones se clasifican por nivel de riesgo según su superficie de impacto. Las consultas de bajo riesgo pueden ejecutarse por un solo operador; las acciones masivas de alto riesgo requieren una segunda aprobación. Los niveles de riesgo pueden configurarse con la política de la organización.
Cada registro de auditoría de acción remota puede transmitirse al SIEM. Los equipos de cumplimiento pueden usar las acciones de ETM para los reportes regulatorios; es crítico para la auditoría de intervención de insiders, especialmente en los sectores financiero y sanitario.
La arquitectura de envío de comandos, selección de objetivos y recopilación de resultados soporta la aplicación de comandos a decenas de miles de dispositivos de una sola vez. El tiempo de respuesta por dispositivo es independiente de la línea paralela.
Cuando el analista SOC recibe una alarma de Protección frente a Amenazas en el Dispositivo (EDR), separa de la red con un solo clic el dispositivo afectado. Se cierra el margen de movimiento lateral del atacante; el dispositivo se mantiene abierto para el forense remoto. Los procesos telefónicos manuales y las demoras de horas desaparecen.
Cuando se divulga una nueva CVE, el equipo IT ejecuta el playbook de parcheo; los dispositivos afectados se encuentran mediante consulta en vivo, se transmite el archivo de parche, se reporta el estado de instalación. El trabajo manual que dura horas se reduce a minutos.
Para la investigación se obtiene de forma remota un archivo de log, un memory dump o un snapshot de configuración del dispositivo. El material de investigación llega a través de un canal seguro sin que el dispositivo salga de las manos del usuario y sin interrumpir su flujo de trabajo.
Durante una auditoría se responde en segundos a preguntas como '¿está activo el cifrado de disco en todos los dispositivos?' o '¿está funcionando el agente de Protección frente a Amenazas en el Dispositivo (EDR) en todos los dispositivos?'. En lugar de reportes de inventario manuales, se presenta una cadena de evidencias en vivo.
Veamos ETM Acción Remota en vivo en su propio entorno — planifiquemos una sesión de instalación que incluya el diseño de playbooks.