Evaluación de Riesgos de los Endpoints de WatchGuard

Se aplica A: WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR. y WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR.

La Evaluación de Riesgos de los Endpoints de WatchGuard le permite evaluar la postura de ciberseguridad de sus cuentas administradas que utilizan una solución de seguridad de endpoint de terceros. La Evaluación de Riesgos de los Endpoints es no intrusiva y le permite identificar amenazas, vulnerabilidades y otros riesgos de seguridad. Después del período de evaluación, puede programar un informe detallado que proporcione información sobre el perfil de riesgo de la cuenta, recomendaciones sobre cómo reducir la superficie de ataque, así como mejoras generales de la postura de seguridad.

El informe Evaluación de Riesgos de los Endpoints incluye resúmenes gráficos de:

• Riesgos
• Estado de riesgos de Endpoint
• Evaluación del Servicio Zero-Trust Application Service
• Evaluación del Servicio Threat Hunting

La sección Detalles y Recomendaciones de Evaluación incluye información detallada sobre estos riesgos de seguridad:

• Malware, PUPs, exploits, ataques de red, indicadores o ataques detectados
• Vulnerabilidades detectadas activamente explotadas
• Vulnerabilidades críticas e importantes detectadas
• Software End-of-Life detectado
• Aplicaciones con alto volumen de carga y descarga
• Aplicaciones de Vivir de la Tierra ejecutadas

¿Por Qué Activar una Evaluación de Riesgos de los Endpoints?

La Evaluación de Riesgos de los Endpoints es una herramienta para que los Service Providers aporten un valor añadido a sus clientes mediante una evaluación de la ciberseguridad de la red del cliente. Puede utilizar la evaluación de riesgos para mostrar los beneficios de la tecnología y los productos de WatchGuard Endpoint Security a un cliente que desee asegurarse de que está totalmente protegido frente a las amenazas de seguridad.

La Evaluación de Riesgos de los Endpoints se centra en un enfoque de zero-trust para ayudar al cliente a crear un entorno informático de confianza. Proporciona visibilidad de las aplicaciones instaladas en el entorno del cliente y de qué aplicaciones consumen más ancho de banda. También proporciona visibilidad de las aplicaciones de vivir de la tierra que los actores maliciosos utilizan comúnmente para introducir malware en las redes.

La evaluación de riesgos es transparente para el cliente. En sus enpoints, el cliente no ve las alertas en las computadoras o el ícono de WatchGuard Endpoint Security en la bandeja del sistema de Windows. Las actualizaciones automáticas de la protección están desactivadas para asegurarse de que el cliente no tenga que reiniciar el endpoint para una actualización de protección.

Si el cliente no activa una licencia para WatchGuard Endpoint Security, aún puede aplicar la mayoría de las recomendaciones del informe. No se requiere hardware o herramientas de prueba adicionales.

Requisitos y Limitaciones

La Evaluación de Riesgos de los Endpoints está disponible en WatchGuard Cloud para partners y clientes con una versión de prueba de WatchGuard EPDR o WatchGuard Advanced EPDR.No está disponible para partners o clientes con un producto Endpoint Security o una licencia EDR Core existentes. También le recomendamos que inicie una prueba simultánea de WatchGuard Advanced Reporting Tool para obtener mayor visibilidad. Advanced Reporting Tool proporciona información avanzada que utiliza la evaluación, como información general de todas las aplicaciones utilizadas, capacidades de búsqueda y seguimiento de las licencias Microsoft Office activas en ese momento.

La Evaluación de Riesgos de los Endpoints se aplica únicamente a los endpoints en plataformas Windows, Linux y macOS. Los endpoints Android e iOS no entran en el ámbito del informe.

Antes de Empezar

Al iniciar la evaluación de riesgos, las nuevas configuraciones se aplican automáticamente al grupo Todos. No obstante, cualquier grupo de cuentas que incluya las configuraciones de la UI de administración de Endpoint Security multiarrendatario no recibe la configuración de la evaluación de riesgos. Para obtener información sobre las configuraciones en la UI de administración multiarrendatario, vaya a Administración de Endpoint Security Multiarrendatario de los Perfiles de Ajustes.

Si utiliza la UI de administración multiarrendatario para asignar configuraciones, asegúrese de que no tenga las configuraciones aplicadas a las cuentas que desea incluir en la evaluación. Recomendamos que cree un grupo de cuentas llamado Evaluación de Riesgos para utilizar la evaluación y no asignar ajustes a este grupo desde la UI de administración multiarrendatario. Para obtener más información sobre los grupos de cuentas, vaya a Administrar Grupos de Cuentas. Si añade nuevas cuentas para incluir en la evaluación, asegúrese de incluirlas en el grupo Evaluación de Riesgos.

Comenzar con la Evaluación de Riesgos de los Endpoints de WatchGuard

Complete estos pasos:

1. Active la Evaluación de Riesgos en Su Cuenta

2. Instale Endpoint Security en Sus Endpoints

3. Revise el Informe de Evaluación de Riesgos de Endpoint Security

1. Active la Evaluación de Riesgos en Su Cuenta

1. Inicie sesión en WatchGuard Cloud.
2. En el Administrador de Cuentas, seleccione Descripción General.
3. Inicie una prueba de Advanced EPDR o EPDR.
   
   1. Seleccione Administración > Pruebas.
   2. Seleccione la pestaña Endpoints.
   3. En la columna Nombre de la Cuenta, junto a la cuenta para la que desea iniciar la evaluación, active el interruptor de prueba.
      Se abre el cuadro de diálogo Añadir Prueba.
   4. En la lista Producto, seleccione Advanced EPDR o EPDR.
   5. (Opcional) En la lista de módulos, seleccione la casilla Advanced Reporting Tool.
      Advanced Reporting Tool proporciona información avanzada que utiliza la evaluación, como información general de todas las aplicaciones utilizadas, capacidades de búsqueda y seguimiento de las licencias Microsoft Office activas en ese momento.
   6. Haga clic en Agregar.
      La versión de prueba puede tardar hasta dos minutos en estar disponible en WatchGuard Cloud.
4. Seleccione Monitorizar > Endpoints.
   Se abre el panel de control Seguridad en la página Configuración.

5. Haga clic en Activar.
   Se abre el cuadro de diálogo de confirmación.

6. Haga clic en Activar.

2. Instale Endpoint Security en Sus Endpoints

Después de iniciar una prueba y activar la evaluación de riesgos, implemente el producto WatchGuard Endpoint Security en sus endpoints. Cuantos más endpoints instale en Endpoint Security, más amplia será la evaluación de riesgos. Recomendamos que instale Endpoint Security en los endpoints que son más vulnerables a amenazas, como las computadoras portátiles. Para obtener información sobre cómo planificar la implementación, vaya a Plan de Instalación de Endpoint Security.

La primera computadora con Windows que agregue a WatchGuard Endpoint Security se designa automáticamente como la computadora de descubrimiento. La computadora descubridora encuentra otras computadoras en la red sin WatchGuard Endpoint Agent instalado. Utilice la Lista de Equipos No Administrados Descubiertos para buscar computadoras en la red en las que pueda implementar WatchGuard Endpoint Agent. Para más información, vaya a Lista Equipos No Administrados Descubiertos.

Puede instalar el software del endpoint de forma remota en computadoras con Windows. Para más información, vaya a Instalar el Software del Endpoint de Forma Remota (Computadoras con Windows).

La instalación solo toma unos minutos.Al instalar el software en el endpoint, el ícono de Endpoint Security no se muestra en la bandeja de notificación y las alertas en las computadoras están desactivadas. Esto sucede porque se aplicaron las configuraciones de Evaluación de Riesgos de los Endpoints al grupo Todos y se implementaron en los endpoints.

Antivirus de Terceros y Productos EDR

WatchGuard Endpoint Security es compatible con antivirus de terceros y productos EDR. Estos productos no se instalan cuando usted instala WatchGuard Endpoint Agent. Si planea utilizar WatchGuard Endpoint Security con software de terceros, debe agregar exclusiones tanto en el producto de terceros como en su producto WatchGuard Endpoint Security para asegurarse de que no se superpongan ni creen detecciones falsas.

Excluya estos directorios en su antivirus o solución EDR:

%programfiles%\Panda Security

%programfiles(x86)%\Panda Security

%allusersprofile%\Panda Security

Para más información, vaya a Crear Exclusiones en WatchGuard Endpoint Security.

Los productos WatchGuard Endpoint Security complementan las soluciones existentes con capacidades EDR y XDR. No obstante, la tecnología anti-exploit suele implementarse con ganchos. Si más de una solución utiliza tecnología anti-exploit, podrían ser incompatibles. Recomendamos que active solamente una tecnología anti-exploit. Para más información, revise este artículo de la Base de Conocimiento: ¿Los productos Endpoint Security son compatibles con antivirus y soluciones EDR de terceros?

3. Revise el Informe de Evaluación de Riesgos de Endpoint Security

Puede previsualizar el informe de Evaluación de Riesgos de Endpoint Security en cualquier momento. O bien puede programar el envío del informe al final del período de evaluación. El informe destaca los diferentes tipos de riesgos de seguridad descubiertos en el período de evaluación. El informe clasifica los riesgos según la gravedad:

• Crítico — Indica que se ha ejecutado malware confirmado o indica un nivel peligroso de exposición a un ciberataque.
• Alto — Indica que se ha encontrado malware latente que podría ejecutarse en cualquier momento o indica la necesidad urgente de reducir la superficie de ataque.
• Medio — Indica que se han encontrado factores de riesgo adicionales que deben abordarse de manera preventiva.

El informe incluye únicamente los endpoints Windows, Linux y Mac con una licencia de prueba WatchGuard Advanced EPDR o EPDR.

Para recibir únicamente el informe de evaluación final y no alertas por correo electrónico cada vez que Endpoint Security encuentre una amenaza, puede desactivar las alertas por correo electrónico para el grupo Evaluación de Riesgos. Para más información, vaya a Acerca de las Alertas.

Previsualizar el Informe

Para previsualizar el informe desde WatchGuard Cloud:

1. En el Administrador de Cuentas, seleccione la cuenta en la que activó la evaluación de riesgos.
2. Seleccione Monitorizar > Endpoints.
3. En la página Estado, seleccione Informes Programados.
4. Haga clic en Agregar Informe Programado.
5. Para especificar el Tipo de Informe, haga clic en el tipo de informe existente y seleccione Informe de Evaluación de Riesgos.

6. Haga clic en Previsualizar Informe.
   El informe se abre en una nueva pestaña del navegador.

Programar el Informe

Programe el informe de Evaluación de Riesgos si desea recibirlo por correo electrónico en forma diaria, semanal o mensual en días específicos y en horarios específicos. Para redes más pequeñas (1 a 50 endpoints), recomendamos que programe el informe para que se ejecute 2 semanas después de iniciar la evaluación. Para redes más grandes, recomendamos que programe el informe para que se ejecute 4 semanas después de iniciar la evaluación. El período de prueba de Endpoint Security es de 30 días, pero se puede extender una vez hasta 60 días. Las redes más grandes pueden requerir un período de evaluación más prolongado. Comuníquese con su representante de WatchGuard.

Para programar el informe de Evaluación de Riesgos, desde WatchGuard Cloud:

1. En el Administrador de Cuentas, seleccione la cuenta en la que activó la evaluación de riesgos.
2. Seleccione Monitorizar > Endpoints.
3. En la página Estado, seleccione Informes Programados.
4. Haga clic en Agregar Informe Programado.
5. En el cuadro de texto Nombre, ingrese un nombre para el informe programado.
6. En la sección Enviar Automáticamente, seleccione la frecuencia y la hora para el informe programado.
   El interruptor Enviar Automáticamente está habilitado de forma predeterminada.
7. Para especificar el Tipo de Informe, haga clic en el tipo de informe existente y seleccione Informe de Evaluación de Riesgos.

8. En el cuadro de texto Para, escriba las direcciones de correo electrónico para recibir los informes, separadas por comas.
9. En los cuadros de texto CC y CCO, escriba las direcciones de correo electrónico que desee copiar, separadas por comas.
10. En el cuadro de texto Asunto, escriba un asunto para su correo electrónico (por ejemplo, Informe Evaluación de Riesgos de los Endpoints).
11. Para especificar el Formato del informe, en la lista desplegable, seleccione PDF o Word.
12. Haga clic en Agregar.

Desactivar la Evaluación de Riesgos

Puede desactivar la evaluación de riesgos en cualquier momento. Al activar la evaluación, se activa el modo Auditoría para detectar el malware y otras brechas de seguridad. Mientras está en Modo Auditoría, Endpoint Security no bloquea ni elimina amenazas. Puede desactivar la evaluación de riesgos y luego desactivar el modo Auditoría para activar Endpoint Security de modo que bloquee y elimine las amenazas encontradas. También debe activar los ajustes por computadora por defecto para activar las actualizaciones automáticas y mostrar el ícono de Endpoint Security en la bandeja de sistemas de Windows.

Para desactivar la evaluación de riesgos y desactivar el modo auditoría:

1. Inicie sesión en WatchGuard Cloud.
2. En el Administrador de Cuentas, seleccione la cuenta en la que inició la prueba y la evaluación de riesgos.
3. Seleccione Monitorizar > Endpoints.

4. Haga clic en Desactivar.
   Se abre un cuadro de diálogo de confirmación.

5. Haga clic en Desactivar.
6. Seleccione Configuración > Estaciones y Servidores.

7. Asigne la configuración predeterminada de las estaciones de trabajo y servidores al grupo Todos.
8. Seleccione Ajustes por Equipo
9. Asigne el perfil predeterminado de ajustes por computadora al grupo Todos.

Remediar Amenazas Encontradas en los Endpoints

En cualquier momento, puede aplicar políticas de remediación para mejorar la postura de seguridad de la cuenta.

Cuando la evaluación de riesgos está activada, no analice las computadoras y dispositivos de la red en busca de programas maliciosos y virus.

Para remediar vulnerabilidades con Endpoint Security, recomendamos que haga lo siguiente:

1. Desactive la Evaluación de Riesgos de los Endpoints.
2. Asigne la configuración predeterminada de Estaciones y Servidores a las cuentas para las que desea remediar amenazas. Esto desactiva el modo Auditoría para asegurarse de que Endpoint Security bloquee y elimine el malware, los PUP u otros exploits encontrados. Para más información, vaya a Configurar Ajustes de Seguridad para Estaciones de Trabajo y Servidores y Asignar un Perfil de Ajustes.
3. Analice las áreas críticas en todos los dispositivos de endpoint. Para más información, vaya a Escanear Computadoras y Dispositivos.
4. Inicie una prueba de Patch Management para aplicar automáticamente los parches disponibles en sus endpoints. Para más información, vaya a Patch Management Best Practices.
5. Revise y siga las recomendaciones en el informe Evaluación de Riesgos de los Endpoints para reducir la superficie de ataque y mejorar la postura de seguridad. Esto podría incluir aislamiento de dispositivos, tareas de análisis de malware adicionales y control de aplicaciones (Bloqueo de Programas).

Temas Relacionados

Iniciar una Prueba

Requisitos de Instalación de Endpoint Security

Comenzar con WatchGuard Endpoint Security