Desplegar el agente Sophos Endpoint manualmente en una VM de prueba. Esta es la forma más directa y esencial de comprender el proceso de instalación.

1. 1
   En Sophos Central → Endpoint Protection → Instaladores. Seleccionar el instalador para Windows (o macOS según la VM disponible).
2. 2
   Descargar el instalador SophosInstall.exe (Windows) o SophosInstall.pkg (macOS).
3. 3
   En la VM de prueba, ejecutar el instalador como administrador. El instalador se conectará automáticamente a Sophos Central para registrar el dispositivo.
4. 4
   Esperar a que complete la instalación (~5-10 min). El agente descargará las definiciones de seguridad más recientes.
5. 5
   Verificar en Sophos Central → Dispositivos que el nuevo endpoint aparece con estado verde y nombre de dispositivo correcto.

• Instalador descargado desde Sophos Central
• Agente instalado exitosamente en VM
• Endpoint visible en Sophos Central con estado verde

Verificar y gestionar la protección contra manipulaciones del agente. Cada dispositivo tiene una contraseña única — este mecanismo impide la desinstalación no autorizada.

1. 1
   En Sophos Central → Endpoint Protection → Dispositivos → Seleccionar un dispositivo registrado.
2. 2
   En la sección de Tamper Protection, localizar la contraseña única del dispositivo. Observar que es diferente para cada máquina.
3. 3
   Practicar la desactivación temporal de Tamper Protection (necesario para desinstalación autorizada o actualizaciones específicas). Documentar el proceso.
4. 4
   Intentar desinstalar el agente sin desactivar Tamper Protection → Verificar que el proceso es bloqueado.
5. 5
   Reactivar Tamper Protection tras la prueba. Verificar que el dispositivo regresa a estado protegido.

• Contraseña de Tamper Protection localizada
• Unicidad de contraseñas verificada en múltiples dispositivos
• Proceso de desactivación/reactivación practicado
• Bloqueo de desinstalación sin contraseña verificado

Configurar la política de protección contra amenazas con las tecnologías avanzadas de detección. Comprender cada capa de protección y cómo interactúan.

1. 1
   En Sophos Central → Endpoint Protection → Políticas → Protección contra Amenazas → Revisar la política base predeterminada de Sophos.
2. 2
   Crear una nueva política de dispositivo (nombre: Lab-ThreatPolicy-Advanced). Asignarla al grupo de VM de prueba.
3. 3
   Habilitar y revisar cada tecnología:
   • Deep Learning: Modelo de ML entrenado por SophosLabs. Detecta malware desconocido antes de su ejecución.
   • Live Protection: Consultas en tiempo real a SophosLabs. Requiere conectividad.
   • CryptoGuard: Anti-ransomware. Detecta cifrado malicioso y revierte automáticamente los cambios.
   • WipeGuard: Protege el MBR contra manipulaciones.
   • AMSI: Escanea scripts PowerShell en memoria antes de ejecución.
4. 4
   Configurar el escaneo de descargas en curso y verificar la opción de escaneo en acceso.
5. 5
   Guardar y aplicar la política. Verificar que el dispositivo de prueba ha recibido la nueva política.

• Política base predeterminada revisada
• Nueva política avanzada creada y asignada
• Deep Learning, CryptoGuard y AMSI habilitados
• Política aplicada al dispositivo de prueba

Comprender y configurar el mecanismo de Heartbeat y el aislamiento automático de dispositivos comprometidos. Esta es la función de "Seguridad Sincronizada" que diferencia a Sophos.

1. 1
   En Sophos Central → Políticas de Protección contra Amenazas → Sección "Aislamiento". Activar la opción de aislamiento automático.
2. 2
   Configurar para que un dispositivo con estado de salud rojo se desconecte automáticamente de la red.
3. 3
   Verificar que el aislamiento mantiene comunicación con Sophos Central — el administrador puede seguir gestionando el dispositivo incluso aislado.
4. 4
   Si hay Sophos Firewall en el entorno: configurar la regla de aislamiento automático cuando el Heartbeat del endpoint sea rojo (previene movimiento lateral).

• Estados de salud del Heartbeat comprendidos
• Aislamiento automático configurado
• Comunicación con Central durante aislamiento verificada

Crear una política de control de aplicaciones para registrar todas las aplicaciones instaladas en la VM, identificar aplicaciones de acceso remoto no autorizadas como AnyDesk, y proceder a su bloqueo efectivo.

1. 1
   Generar inventario de aplicaciones: En Sophos Central → Endpoint Protection → Dispositivos → Seleccionar la VM → Pestaña "Software". Revisar el listado completo de aplicaciones detectadas en la máquina.
2. 2
   Exportar o anotar las aplicaciones de acceso remoto detectadas (AnyDesk, TeamViewer, UltraVNC, etc.). Estas aplicaciones pueden ser un vector de acceso no autorizado si no están gestionadas corporativamente.
3. 3
   Crear política de detección previa: En Sophos Central → Políticas → Control de Aplicaciones → "Agregar Política" → Nombre: Lab-AppControl-Detección. Modo inicial: "Detectar únicamente" (sin bloqueo).
4. 4
   En el buscador de aplicaciones de la política, buscar "AnyDesk" y añadirla. Buscar también la categoría "Herramientas de Escritorio Remoto" para cubrir otras variantes similares. Guardar y asignar la política a la VM de prueba.
5. 5
   Verificar detección: Si AnyDesk está instalado en la VM, ejecutarlo. En Sophos Central → Eventos debería aparecer un evento de "Aplicación detectada" con nombre del proceso, ruta y usuario.
6. 6
   Activar bloqueo: Editar la política → Cambiar el modo de AnyDesk de "Detectar" a "Bloquear". Guardar y esperar ~1 minuto a que el agente reciba la actualización de política.
7. 7
   Verificar bloqueo en la VM: Intentar abrir AnyDesk en la máquina virtual. El agente de Sophos debe mostrar una notificación de bloqueo y la aplicación no debe ejecutarse. Verificar el evento de bloqueo en Sophos Central.

• Inventario de aplicaciones de la VM revisado
• Política Lab-AppControl creada en modo "Detectar"
• AnyDesk y herramientas remotas añadidas a la política
• Evento de detección visible en Sophos Central
• Modo cambiado a "Bloquear" y verificado en VM

Configurar el control de dispositivos externos para prevenir exfiltración de datos o infección por dispositivos USB maliciosos.

1. 1
   En Sophos Central → Políticas → Control Periférico → Crear política Lab-PeripheralControl.
2. 2
   Iniciar con la opción "Monitorizar pero no bloquear" para USB y Bluetooth. Esto permite ver qué dispositivos están siendo usados actualmente.
3. 3
   Revisar los eventos generados tras 5-10 minutos de monitoreo. Identificar qué dispositivos USB y Bluetooth están conectados en el entorno.
4. 4
   Crear excepciones para dispositivos aprobados (ej. teclado corporativo, mouse). Usar el ID de dispositivo o el nombre del fabricante.
5. 5
   Cambiar la política a "Bloquear" para dispositivos de almacenamiento USB no autorizados. Conectar un USB de prueba y verificar el bloqueo.

• Política iniciada en modo "Monitorizar"
• Dispositivos en uso identificados
• Excepciones para dispositivos aprobados creadas
• Bloqueo de USB no autorizado verificado

Implementar filtrado web real en la VM de prueba: bloquear categorías completas, verificar el bloqueo en el navegador y configurar una excepción para un sitio específico dentro de una categoría bloqueada.

1. 1
   Crear la política: Sophos Central → Endpoint Protection → Políticas → Web Control → "Agregar Política" → Nombre: Lab-WebControl-Practico. Asignarla al grupo de la VM de prueba.
2. 2
   Bloquear categorías: Configurar como Bloqueado: 🚫 Juegos de Azar · 🚫 Redes Sociales · 🚫 Streaming / Entretenimiento · 🚫 Descarga de Archivos / P2P
3. 3
   Configurar modo "Advertencia" para categorías donde el usuario puede necesitar acceso ocasional: ⚠️ Noticias y Medios · ⚠️ Foros y Grupos de Discusión
4. 4
   Prueba de bloqueo en la VM: Intentar acceder a www.facebook.com. Debe aparecer la página de bloqueo de Sophos indicando la categoría bloqueada.
5. 5
   Crear excepción para linkedin.com: En la política → "Excepciones de sitios web" → "Agregar sitio web": www.linkedin.com → Acción: Permitir.
6. 6
   Verificar la excepción: linkedin.com debe cargarse correctamente pese al bloqueo de "Redes Sociales". facebook.com debe seguir bloqueado.
7. 7
   En Sophos Central → Eventos → Web Control → Revisar el log de accesos con usuario, dispositivo y URL.

• Política Lab-WebControl creada y asignada a la VM
• Bloqueo de facebook.com verificado en la VM
• Excepción para linkedin.com creada y verificada
• Log de eventos Web Control revisado en Central

Generar una detección real y controlada en la VM usando el archivo de prueba estándar EICAR. Este archivo es reconocido globalmente como "malware de prueba" — no contiene código dañino pero activa todos los motores de detección antivirus.

1. 1
   Descarga directa: Desde la VM, navegar a eicar.org/download-anti-malware-testfile/. Intentar descargar el archivo eicar.com (sin comprimir).
2. 2
   Resultado esperado — Bloqueo en descarga: El agente de Sophos debe interceptar el archivo antes de que se guarde en el disco. El navegador mostrará que la descarga fue bloqueada.
3. 3
   Creación manual: Abrir el Bloc de Notas en la VM → Pegar el texto EICAR:
   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   Guardar como eicar_test.com en el Escritorio. El agente debe detectarlo al momento de guardar.
4. 4
   Observar la reacción del agente: Notificación emergente en la VM: "Amenaza detectada". El archivo es eliminado o puesto en cuarentena. Sophos lo identifica como "EICAR-AV-Test".
5. 5
   Verificar en Sophos Central: Ir a Alertas y Endpoint Protection → Eventos. Localizar el evento de detección con nombre del dispositivo, usuario, hash SHA-256, ruta y acción tomada.

• Descarga de eicar.com bloqueada desde el navegador
• Notificación del agente visible en la VM
• Archivo eliminado o en cuarentena (no existe en disco)
• Evento de detección EICAR visible en Sophos Central

Configurar reglas DLP para detectar y controlar la transferencia de datos sensibles fuera del endpoint. Aprender a gestionar exclusiones para evitar falsos positivos en procesos legítimos del negocio.

1. 1
   En Sophos Central → Políticas → Data Loss Prevention → "Agregar Política" → Nombre: Lab-DLP-Datos-Sensibles.
2. 2
   Crear una regla para números de tarjeta de crédito: buscar el tipo de dato "Credit Card Numbers" en los tipos predefinidos. Configurar la acción como "Registrar" (log) inicialmente.
3. 3
   Crear una regla para datos de identidad: buscar "National ID" o equivalente. Configurar la acción como "Bloquear y Registrar".
4. 4
   Prueba en la VM: Crear un archivo de texto con números de tarjeta de prueba (ej. 4111 1111 1111 1111) e intentar copiarlo a un USB. Verificar el evento en Sophos Central.

• Política DLP creada con regla de tarjetas de crédito
• Regla de datos de identidad configurada
• Prueba de detección realizada en la VM

Usar el sitio oficial de pruebas de Sophos para generar detecciones controladas y verificar que el agente responde correctamente a amenazas.

1. 1
   Desde el endpoint con el agente instalado, abrir el navegador y acceder a http://sophostest.com.
2. 2
   Seleccionar la prueba de "Download Reputation Alert" — intentar descargar el archivo de prueba y observar la reacción del agente.
3. 3
   Verificar que el agente muestra una notificación de bloqueo en el endpoint y que el archivo NO se descarga.
4. 4
   En Sophos Central → Alertas → Verificar que aparece la alerta generada con detalles del dispositivo, usuario y tipo de amenaza.
5. 5
   Explorar el evento en detalle: revisar el hash del archivo, la clasificación de SophosLabs y las acciones tomadas por el agente.

• Prueba de descarga ejecutada desde sophostest.com
• Notificación de bloqueo visible en endpoint
• Alerta generada y visible en Sophos Central

Ejercicio de cierre del laboratorio: verificar que todas las políticas configuradas durante las 4 fases están correctamente aplicadas y producir un resumen ejecutivo de los hallazgos.

1. 1
   Revisión de estado de dispositivos: En Sophos Central → Dashboard principal. Verificar que todos los endpoints muestran estado verde.
2. 2
   Validación de políticas aplicadas: Para cada dispositivo de prueba, ir a Dispositivos → [VM] → Políticas. Verificar que recibió correctamente todas las políticas configuradas en las fases anteriores.
3. 3
   Revisión consolidada de eventos: En Eventos → Filtrar por las últimas 24h. Revisar la distribución de eventos por tipo: detecciones de malware, bloqueos de aplicaciones, bloqueos web e intentos de uso de USB.
4. 4
   Generar informe ejecutivo: En Informes → Resumen Ejecutivo. Seleccionar el período del laboratorio y generar un PDF con: cantidad de amenazas detectadas, dispositivos protegidos vs. sin proteger, top aplicaciones bloqueadas y actividad de usuarios.
5. 5
   EDR — Análisis de Amenazas: En Análisis de Amenazas → Revisar los incidentes listados. Abrir uno y explorar el Gráfico de Amenazas (RCA) — visualiza el árbol de procesos del ataque.

• Todos los endpoints con estado verde
• Políticas verificadas en el dispositivo de prueba
• Eventos consolidados de las 4 fases revisados
• Informe ejecutivo generado
• Gráfico RCA revisado en EDR