Crear una Tarea de Búsqueda de IOCs

Cree una tarea para buscar las computadoras y dispositivos en su red para los IOCs aprobados.

Al importar IOC en WatchGuard Advanced EPDR, debe aprobarlos manualmente desde la Galería de IOCs para poder crear una tarea de búsqueda. Para más información, vaya a Administrar IOCs.

Prioridad de Tareas

Cuando WatchGuard Advanced EPDR ejecuta una tarea de búsqueda de IOCs en la computadora de un usuario, podría haber tareas ya en curso. La tarea de búsqueda de IOCs se ejecuta de acuerdo con el comportamiento descrito en esta tabla.

Tarea en Curso	Comportamiento de Tareas de Búsqueda
Detección de IOC	Espera a que finalice la tarea de detección de IOC y, a continuación, ejecuta la nueva tarea de búsqueda.
Instalación de parches	Se ejecuta simultáneamente con la tarea de instalación de parches. La tarea de instalación de parches no se interrumpe, ya que esto podría representar un riesgo para la integridad del sistema.
Escaneo o desinfección	La tarea de análisis o desinfección se cancela y se ejecuta la tarea de búsqueda de IOCs.
Búsqueda de Data Control	Ejecuta y no cancela o detiene la tarea de Data Control.
Indexación de Data Control	Ejecuta y detiene temporalmente la tarea de Data Control.

Las tareas de búsqueda de IOCs se cancelan automáticamente y se reinician (si es posible) en las computadoras de los usuarios cuando:

El administrador solicita un reinicio de la computadora desde la UI de administración.
El usuario cliente solicita que se reinicie la computadora localmente desde la computadora.
La computadora se reinicia automáticamente para actualizar los componentes del software de seguridad instalado.

Cuando WatchGuard Advanced EPDR inicia una tarea y ya hay una tarea de búsqueda de IOCs en curso, completa la nueva tarea según el comportamiento descrito en esta tabla.

Nueva Tarea	Comportamiento de Tareas
Detección de IOC	Espera a que finalice la tarea de búsqueda en curso y, a continuación, ejecuta la nueva tarea.
Instalación de parches	La tarea comienza a ejecutarse mientras se ejecuta la tarea de búsqueda de IOCs.
Escaneo o desinfección	La tarea no comienza a ejecutarse hasta que finaliza la tarea de búsqueda de IOCs.
Búsqueda de Data Control	La tarea comienza a ejecutarse mientras se ejecuta la tarea de búsqueda de IOCs.
Indexación de Data Control	La tarea no comienza a ejecutarse hasta que finaliza la tarea de búsqueda de IOCs.

Si detiene manualmente la tarea de búsqueda de IOCs desde la UI de administración:

La búsqueda de IOCs se detiene lo antes posible en la computadora objetivo.
Se registran los resultados de la detección hasta el momento de la cancelación.

Crear una Tarea de Búsqueda de IOCs

Puede crear una tarea de búsqueda de IOCs desde la Galería de IOCs o desde la página Tareas. Para obtener información acerca de la Galería de IOCs, vaya a Acerca de la Galería de IOCs.

Para crear una tarea de búsqueda de IOCs, desde la página Tareas:

En WatchGuard Cloud, seleccione Monitorizar > Endpoints.
Seleccione Tareas.
Haga clic en Añadir Tarea > Buscar IOCs.
Se abre el cuadro de diálogo Nueva Tarea.

En el cuadro de texto Nombre, ingrese un nombre para la tarea.
En el cuadro de texto Descripción, ingrese una descripción de la tarea.
Seleccione cuándo comenzará la tarea.
- Para iniciar la tarea lo antes posible dentro del intervalo seleccionado, marque la casilla de selección. La computadora debe estar encendida y ser accesible desde la nube.
- Para iniciar la tarea a una hora determinada, seleccione la fecha y la hora.
- Para especificar la hora basándose en la hora de la computadora, marque la casilla de selección Hora Local del Dispositivo.
  Si no marca esta casilla de selección, la hora se basa en la hora del servidor WatchGuard Cloud.
- Si la computadora está apagada o no se puede acceder a ella, la tarea no se ejecutará. Puede especificar la hora de vencimiento de la tarea, desde 0 (la tarea vence inmediatamente si la computadora no está disponible) hasta infinito (la tarea siempre está activa y espera indefinidamente a que la computadora esté disponible).
En la lista desplegable Tiempo Máximo de Ejecución, seleccione cuánto tiempo desea retener la tarea cuando la computadora está apagada o no conectado a WatchGuard Cloud en el momento seleccionado.
En el cuadro de texto Comprobar los Siguientes IOCs, haga clic en +.
Se abre el cuadro de diálogo Añadir IOCs.

Screen shot of Add IOCs dialog box

Seleccione los IOC que desea buscar.
La lista muestra todos los IOCs registrados en la Galería de IOCs. Si la lista es larga, puede buscar un IOC en el cuadro de búsqueda.
Haga clic en Agregar.
En la esquina superior derecha, haga clic en Guardar.
En la página Tareas, seleccione la tarea.
En el cuadro de texto Destinatarios, para agregar computadoras y dispositivos para buscar, haga clic en No se ha seleccionado ningún destinatario.
Se abre la página Destinatarios.
Para agregar grupos de computadoras, encima del cuadro, haga clic en .
Se abre el cuadro de diálogo Añadir Grupo.
1. Seleccione los grupos de computadoras que desea buscar.
2. Haga clic en Agregar.
  Los grupos seleccionados se muestran en el cuadro. Haz clic en para eliminarlos.
Para ejecutar la tarea solo en un tipo particular de computadora y dispositivo, seleccione las casillas de verificación de los tipos de dispositivo que desea incluir (por ejemplo, Estación de trabajo, computadora Portátil, Servidor, Dispositivo Móvil).
El tipo de computadora o dispositivo que puede recibir una tarea depende de la tarea a ejecutar.
Para agregar computadoras y dispositivos adicionales, encima del cuadro, haga clic en .
Se abre el cuadro de diálogo Añadir Equipos.
1. Seleccione las computadoras individuales que desea buscar.
2. Haga clic en Agregar.
  Las computadoras y dispositivos seleccionados se muestran en la lista. Haga clic en Ver Equipos para revisar una lista de las computadoras que recibirán la tarea.
Haga clic en Atrás.
Haga clic en Guardar.
La tarea está disponible para publicar. Para más información, vaya a Publicar una Tarea.

Resultados de la Búsqueda de IOCs

Después de publicar la tarea de búsqueda y de que se ejecute, puede revisar los resultados de la búsqueda en la lista de IOCs Detectados y en el panel de control de IOC. Para más información, vaya a Panel de Control de Indicadores de Compromiso. Cuantos más archivos haya que buscar, más tiempo tardará Endpoint Security en completar la tarea de búsqueda. Las tareas de búsqueda con MD5 o reglas YARA pueden llevar más tiempo.

Para ayudar a prevenir una sobrecarga de la red en el caso de una infección de muchos archivos en cada computadora de la red, WatchGuard Advanced EPDR restringe la profundidad y la información de las búsquedas.

IOCs Simples o IOCs con una regla YARA — Busca un atributo único con un valor específico. Los IOCs devuelven hasta 10 resultados por computadora, luego la búsqueda se detiene.
IOCs Complejos — Busca varios atributos o un atributo con varios valores. Los IOCs devuelven el primer resultado encontrado en cada computadora, luego la búsqueda se detiene.

Temas Relacionados

Acerca de la Galería de IOCs

Acerca de las Tareas

Administración de Endpoint Security Multiarrendatario — Administrar Tareas

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.