Autorizar el agente Kabeen en su EDR/antivirus

Resolver los falsos positivos de EDR/XDR en los ejecutables de Kabeen agregando el agente a la lista de autorizacion

Las soluciones EDR/XDR (Sophos, CrowdStrike, etc.) pueden generar falsos positivos en los ejecutables del agente Kabeen. Este articulo explica como identificar estas alertas y autorizar el agente en su solucion de seguridad para no interrumpir la recopilacion de uso.

Sintomas

Puede observar las siguientes senales:

  • Alertas o bloqueos notificados por su EDR/XDR sobre Kabeen.exe y proxy.exe.
  • Puesta en cuarentena de los ejecutables del agente.
  • Equipos que dejan de reportar uso en la plataforma, porque la recopilacion esta bloqueada.

Sin una autorizacion explicita del agente en su solucion de seguridad, la recopilacion puede bloquearse y los equipos afectados dejan de reportar datos.

Agregar el agente a la lista de autorizacion (allowlist)

Para restablecer el funcionamiento del agente, agregue los siguientes elementos a la lista de autorizacion de su EDR/XDR:

  1. El ejecutable Kabeen.exe.
  2. El ejecutable proxy.exe.
  3. La carpeta de instalacion del agente en Windows:
C:\Program Files\Kabeen

La configuracion exacta depende de su solucion de seguridad (la interfaz y la ubicacion de las reglas varian de un proveedor a otro). Consulte la documentacion de su EDR/XDR para crear una exclusion sobre estos ejecutables y esta carpeta.

Agente servidor de infraestructura

Las mismas consideraciones se aplican en el lado de los servidores. Si despliega el agente servidor de infraestructura en maquinas protegidas por un EDR/XDR, autorice el agente servidor de la misma manera para que su recopilacion no se bloquee.

Alerta que aparece de repente

Una alerta que aparece de repente en un agente que funcionaba correctamente suele deberse a un cambio en el algoritmo de deteccion por parte del proveedor del EDR. En este caso:

  1. Mantenga el agente en la lista de autorizacion.
  2. Notifique la alerta al soporte de Kabeen para una posible presentacion del ejecutable al proveedor de su solucion de seguridad.

Vease tambien

Si la recopilacion sigue bloqueada despues de la autorizacion, compruebe tambien los flujos de red permitidos. El agente solo utiliza HTTPS saliente en el puerto 443/TCP hacia api.kabeen.io e intake.kabeen.io. Consulte los requisitos previos del agente de infraestructura para conocer el detalle de los flujos que debe autorizar.

AnteriorDiagnósticoSiguientePlantilla de comunicación para usuarios