Introducción
Las herramientas de AV y EDR marcan con frecuencia los agentes de RMM como Aplicaciones Potencialmente No Deseadas (PUA). Este es un comportamiento esperado: un RMM tiene privilegios significativos en el sistema y los proveedores de seguridad tienen razón al tratar con sospecha las herramientas de acceso remoto desconocidas. Dado que ha implementado Level de forma intencionada, la solución es agregar exclusiones para que su conjunto de seguridad le permita ejecutarse.
Por qué ocurre esto
Los EDR han comenzado a clasificar los RMM como Programas Potencialmente No Deseados (PUP) de forma predeterminada. Es una postura de seguridad razonable: los RMM proporcionan acceso profundo al sistema, incluido el control remoto, la gestión en segundo plano, la ejecución arbitraria de scripts y mucho más. Cualquier RMM no autorizado que se ejecute en su red debe marcarse de inmediato.
Posición de Level: los EDR deben bloquear los RMM no aprobados. Si ha elegido usar Level, crear una excepción en su software de seguridad es la respuesta adecuada.
Para un análisis más detallado sobre esto, consulte: Los EDR desconfían de los RMM, y eso está bien
Cómo el AV/EDR interfiere realmente con Level
Esto es importante de entender, ya que la interferencia de AV/EDR no siempre es evidente. La mayoría de las personas esperan un evento de cuarentena o una alerta, pero la detección basada en comportamiento con frecuencia no produce ninguna de las dos.
La detección basada en comportamiento no es detección basada en firmas. Los productos de AV/EDR no solo analizan archivos; también observan lo que hacen los procesos en tiempo de ejecución. Si el comportamiento del agente en un momento específico activa una heurística —un patrón de llamada de red, una consulta WMI, un proceso hijo— el software de seguridad puede bloquear o eliminar esa acción sin poner nada en cuarentena. Sin alerta, sin entrada en el registro, sin eliminación del binario.
Por eso puede tener 50 dispositivos ejecutando el mismo AV/EDR y que solo 2 muestren Level como desconectado. No es un comportamiento inconsistente de su software de seguridad: es que la detección se activó en esos 2 dispositivos según lo que el agente estaba haciendo en ese momento.
El AV/EDR puede afectar a Level de formas que van más allá de simplemente eliminar el binario:
Terminar el proceso del agente de forma abrupta (el dispositivo se desconecta)
Bloquear conexiones salientes específicas (las comprobaciones de conectividad fallan, el websocket se desconecta)
Interferir con las llamadas WMI (las automatizaciones agotan el tiempo de espera o fallan a mitad del proceso)
Limitar o suspender el proceso (el dispositivo aparece en línea pero las sesiones remotas no se conectan)
Bloquear la generación de procesos hijos por parte del agente (los scripts no se ejecutan)
Si algo en Level se comporta de forma extraña —no solo dispositivos desconectados, sino fallos intermitentes en las automatizaciones, scripts que se bloquean o sesiones remotas que no se establecen— la interferencia de AV/EDR es una causa probable incluso si su software de seguridad no muestra nada.
Rutas de exclusión
Agregue estas rutas a la lista de exclusiones o confianza de su software de seguridad:
🖥️ NOTA DE PLATAFORMA:
Windows:
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 CONSEJO: Use exclusiones basadas en rutas para los ejecutables específicos, no para toda la Level carpeta. Excluir la carpeta también cubriría cualquier cosa que un atacante pudiera colocar allí.
Exclusiones basadas en certificado
Las exclusiones basadas en certificado son más resistentes que las basadas en ruta. Level envía actualizaciones semanales del agente: las exclusiones basadas en hash se rompen con cada versión, y las exclusiones basadas en ruta no verifican la autenticidad del binario. Las exclusiones por certificado sobreviven a las actualizaciones de forma automática y solo permiten la ejecución de binarios de Level correctamente firmados.
ℹ️ NOTA: No todos los productos de AV/EDR admiten completamente las exclusiones basadas en certificado. SentinelOne, por ejemplo, no las respeta para las exclusiones de interoperabilidad. Si no tiene la certeza de que su producto respeta las reglas basadas en certificado, utilice exclusiones basadas en ruta: son ampliamente compatibles y efectivas.
Información del publicador:
Campo | Valor |
Publicador | Level Software, Inc. |
Emisor | DigiCert, Inc. |
Serie |
|
SHA-1 |
|
SHA-256 |
|
Para verificar el certificado en el binario instalado (Windows):
Navegue a
C:\Program Files\Level.Haga clic derecho en
level.exey seleccione Propiedades.Haga clic en la Firmas digitales pestaña.
Seleccione «Level Software, Inc.» y haga clic en Detalles → Ver certificado.
Confirme que la huella digital coincide con el valor SHA-256 indicado anteriormente.
ℹ️ NOTA: Verifique siempre los detalles del certificado comparándolos con los valores extraídos directamente de su binario instalado. Los detalles pueden variar ligeramente entre versiones.
Exclusiones de Windows Defender
Si usa Windows Defender, utilice la automatización o el script que se muestra a continuación para distribuir exclusiones en sus dispositivos. Ambos se pueden importar directamente en Level.
Importar la automatización (recomendado para varios dispositivos): https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Importar el script (para dispositivos individuales): https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
Script de PowerShell - Exclusión de Windows Defender (manual):
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ ADVERTENCIA: Si un dispositivo ya está desconectado porque el agente fue puesto en cuarentena o eliminado, no puede enviar este script a través de Level. Necesitará acceso local o fuera de banda para agregar exclusiones primero. Consulte Si los dispositivos ya están desconectados a continuación.
Si los dispositivos ya están desconectados
Cuando el AV/EDR bloquea Level sin generar una alerta, el dispositivo queda inaccesible sin ninguna indicación obvia. Señales de que esta es la causa:
El dispositivo está en línea y es accesible mediante otras herramientas, pero aparece desconectado en Level
Solo algunos dispositivos están afectados, aunque el mismo AV/EDR esté implementado en todos (esto es normal: la detección basada en comportamiento es inconsistente por naturaleza)
Las automatizaciones están fallando o agotando el tiempo de espera en dispositivos que por lo demás parecen estar en buen estado
El
level.exeel binario falta enC:\Program Files\Level\— Level no tiene ningún mecanismo para eliminar su propio binario, por lo que su ausencia significa que el AV/EDR lo eliminó o puso en cuarentena
Para resolver: obtenga acceso fuera de banda al dispositivo, agregue las exclusiones mediante la consola de administración de su software de seguridad o el script de PowerShell anterior y, a continuación, verifique que el binario esté presente. Si fue eliminado, reinstale el agente después de agregar las exclusiones.
⚠️ ADVERTENCIA: No reinstale el agente antes de agregar las exclusiones. El AV/EDR volverá a eliminar el binario de inmediato.
Preguntas frecuentes
Agregué exclusiones, pero el dispositivo sigue desconectado. ¿Qué hago ahora? Las exclusiones evitan interferencias futuras, pero no deshacen lo que ya ocurrió. Compruebe si el
level.exeel binario sigue presente enC:\Program Files\Level\— si fue eliminado por el AV/EDR, deberá reinstalar el agente. Ejecute--checkdespués de reinstalar para confirmar que se ha restaurado la conectividad. Consulte Solución de problemas de desconexión.Todos mis dispositivos tienen el mismo AV/EDR. ¿Por qué Level solo está desconectado en algunos de ellos? Detección basada en comportamiento. Su software de seguridad no está comparando Level con una firma conocida como maliciosa: está observando lo que hacen los procesos en tiempo de ejecución y bloqueando según patrones de comportamiento. Si se activa una detección depende de lo que el agente estuviera haciendo en el momento en que se ejecutó la heurística. Es habitual ver solo 1 o 3 dispositivos afectados de una flota mucho mayor con una configuración de AV/EDR idéntica.
Mi EDR no muestra detecciones ni eventos de cuarentena, pero Level se comporta de forma extraña. Eso es coherente con la interferencia basada en comportamiento. Algunos productos bloquean o limitan operaciones específicas sin generar un evento de detección: sin alerta, sin registro de cuarentena, nada. El AV/EDR puede terminar websockets, bloquear llamadas de red, provocar tiempos de espera en WMI o impedir que el agente genere procesos hijos, todo sin tocar el binario. Agregue exclusiones y compruebe si los problemas se resuelven.
¿Debo usar exclusiones basadas en ruta o basadas en certificado? Las exclusiones basadas en certificado son más seguras y requieren menos mantenimiento en teoría, pero no todos los productos las respetan completamente. SentinelOne, por ejemplo, no admite exclusiones basadas en certificado para exclusiones de interoperabilidad: la opción existe pero no tendrá el efecto previsto. Si no tiene la certeza de que su AV/EDR respeta completamente las exclusiones basadas en certificado, comience con las basadas en ruta. Las exclusiones basadas en ruta son ampliamente compatibles con todos los productos y son la opción predeterminada más segura. Evite las basadas en hash: Level envía actualizaciones semanales y el hash cambia en cada versión.
¿Con quién debo contactar si mi proveedor de EDR sigue marcando Level? Póngase en contacto con el soporte de Level. El equipo trabaja directamente con los proveedores de seguridad en cuestiones de clasificación.