Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR
El modo Contención de Ataque RDP permite a WatchGuard Endpoint Security detener automáticamente los ataques de escritorio remoto (RDP). WatchGuard Endpoint Security monitoriza los ataques de fuerza bruta en RDP y los datos de usuario en riesgo después de ataques de fuerza bruta.
En un perfil de ajustes de Indicadores de Ataque, puede configurar el comportamiento cuando WatchGuard Endpoint Security identifica un ataque RDP. Cuando habilita el interruptor de Ataque RDP en el perfil de ajustes, WatchGuard Endpoint Security ejecuta estas acciones en las computadoras destinario:
- Registra los intentos de acceso remoto a través de RDP en cada computadora protegida durante las últimas 24 horas, que se originaron fuera de la red del cliente.
- Determina si la computadora está sujeta a un ataque RDP de fuerza bruta.
- Detecta si alguna de las cuentas de la computadora ya está en riesgo para acceder a los recursos del sistema.
- Bloquea las conexiones RDP para mitigar el ataque.
Para configurar los ajustes de respuesta a Ataques RDP:
- En WatchGuard Cloud, seleccione Configurar > Endpoints.
- Seleccione Ajustes.
- En el panel izquierdo, seleccione Indicadores de Ataque.
- Seleccione un perfil de ajustes de seguridad existente para editarlo, copie un perfil existente o, en la esquina superior derecha de la ventana, haga clic en Añadir para crear un nuevo perfil.
Se abre la página Añadir Configuración o Editar Configuración. - Ingrese un Nombre y Descripción para el perfil, si es necesario.
- Habilite el interruptor Ataques RDP.
- Seleccione Configuración Avanzada.
- En la sección Respuesta Automática, especifique la remediación automática para estaciones de trabajo y servidores (Reportar o Reportar y Bloquear).
- En la sección IPs De Confianza, agregue direcciones IP y rangos de IP para excluirlos.
Esta es una lista de computadoras que considere seguras. Estas IP se reportan, pero no se bloquean. - Habilite los interruptores para cualquier otro Indicador de Ataque que desee incluir en el perfil.
Para obtener información sobre el tipo de IOA, haga clic en el icono de información. WatchGuard actualiza periódicamente la lista de indicadores de ataque para reflejar las nuevas estrategias que utilizan los cibercriminales. En Advanced EPDR, también puede habilitar IOAs Avanzados. IOAs Avanzados proporciona una monitorización en profundidad de las aplicaciones en sus computadoras, detecta comportamientos sospechosos y determina si el evento es un IOA. - Haga clic en Guardar.
- Seleccione el perfil y asigne destinatarios, si es necesario.
Para más información, vaya a Asignar un Perfil de Ajustes.