![logo_latam2021_Mesa de trabajo 1.png]](https://conocimiento.grupomicronet.com/hs-fs/hubfs/logo_latam2021_Mesa%20de%20trabajo%201.png?height=40&name=logo_latam2021_Mesa%20de%20trabajo%201.png){kind=logo}
Configurar Sandbox Analyzer en políticas para envío automático
Cuándo usarlo
-
Quieres que los endpoints envíen automáticamente muestras sospechosas para detonar y obtener veredicto.
-
Necesitas controlar si el usuario puede ejecutar el archivo mientras llega el veredicto (monitoreo) o bloquearlo hasta el resultado.
Pasos
-
Verifica licencia: asegúrate de que tu plan incluya Sandbox Analyzer.
-
Abre la política que usan los endpoints y entra a la sección de Sandbox Analyzer / Sensor de endpoint.
-
Activa el envío automático marcando “Envío automático de muestras desde puntos finales administrados”.
-
Define el modo de análisis:
-
Monitoreo: el usuario puede acceder al archivo durante el análisis (recomendación: no ejecutarlo hasta el resultado).
-
Bloqueo: el usuario no puede acceder al archivo hasta que se devuelva el resultado.
-
-
Ajusta el prefiltrado de contenido (qué tan “generoso” es enviando objetos a Sandbox).
-
Configura exclusiones y límite de tamaño (el envío puede limitarse entre 1 KB y 50 MB).
-
Configura acciones de remediación (qué hacer cuando Sandbox detecta amenaza).
-
Guarda y asigna la política a los endpoints objetivo.
Preguntas frecuentes
¿Cuál es el tamaño máximo de archivo para Sandbox Analyzer?
El límite de carga para cualquier archivo o comprimido es 50 MB.
¿Qué hace el “Prefiltrado de contenido”?
Es el mecanismo del sensor que decide si un archivo sospechoso debe detonarse en Sandbox Analyzer; ajustas el nivel para enviar más o menos objetos.
¿Monitoreo vs Bloqueo en una frase?
Monitoreo permite acceso al archivo mientras se analiza; Bloqueo lo niega hasta el veredicto.