Administrar las Alertas de DNSWatch
Cuando DNSWatch rechaza una solicitud a un dominio, el resolvedor de DNS devuelve la dirección IP de un servidor Blackhole de DNSWatch. El servidor Blackhole acepta la conexión que estaba prevista para el dominio malicioso, intenta recopilar información sobre el origen de la solicitud de DNS y recopila datos de conexión para el análisis de malware. Para obtener más información sobre el servidor Blackhole de DNSWatch, consulte Acerca de los Servidores DNSWatch Blackhole.
DNSWatch genera una alerta para cada grupo de conexiones desde una red protegida a un dominio malicioso. En la página Alertas, puede ver y gestionar todas las alertas para sus redes protegidas.
Para ver sus alertas de DNSWatch:
- Inicie sesión en su cuenta de DNSWatch.
- Haga clic en Informe > Alertas.
Se abre la página Alertas.
La página de Alertas muestra esta información de resumen para cada alerta:
- Dominio — El dominio en la solicitud de DNS
- Protocolo — El protocolo que se utiliza en la conexión con el Servidor Blackhole
- Clasificación — El tipo de amenaza, según lo clasificado por el equipo de análisis de DNSWatch en WatchGuard
- Víctima — La dirección IP pública de la red o dispositivo protegido desde el que se recibió la solicitud de DNS
- Ultima Vez Visto — La fecha y hora más reciente en que DNSWatch recibió una solicitud de DNS a este dominio desde esta red protegida
- Estado — El estado de resolución y estado de conexión:
- Una x roja () indica que la alerta no se ha resuelto.
- Una marca de verificación verde () indica que la alerta se ha resuelto.
- El icono de estado de conexión () está rojo si actualmente hay una conexión abierta con el Servidor Blackhole para esta alerta.
Clasificaciones de Alerta
Todas las alertas nuevas están sin clasificar. El equipo de DNSWatch en WatchGuard analiza las nuevas alertas y actualiza la clasificación. Las nuevas alertas se mantienen sin clasificar hasta que el análisis está completo. El equipo de DNSWatch se enfoca en la categorización rápida de alertas relacionadas con malware, ransomware y phishing. Algunas alertas pueden mantenerse sin clasificar.
Las clasificaciones de alerta son las siguientes:
- Sin clasificar
- Malware
- Ransomware
- Publicidad Maliciosa
- Phishing
- Sitios Web en Riesgo
- Previamente Malo
- Adware Detectado
- Adware Prevenido
- Falsa Alarma — la alerta
- Probando
- Bloqueado Manualmente
La clasificación Bloqueado Manualmente indica que la solicitud de DNS a un dominio se denegó porque está en la Lista de Bloqueados. Para obtener más información acerca de la Lista de Bloqueados, consulte Administrar Dominios en la Lista de Bloqueados de DNSWatch.
Ver Detalles de Alerta
Para ver información más detallada sobre una alerta, en la columna Acciones, haga clic en Ver. Cuando ve los detalles de la alerta, puede elegir las acciones para Resolver o Silenciar la alerta.
Para más información, consulte Ver los Detalles de Alerta de DNSWatch.
Resolver Alertas
Puede cambiar el estado de una alerta a Resuelto. Puede hacer esto después de haber finalizado cualquier discusión o investigación y si la considera resuelta. Cuando el estado de una alerta es “Resuelto”, DNSWatch no envía alertas por correo electrónico cuando hay un cambio en los comentarios. Si se observa una nueva conexión para el dominio desde la misma red protegida, DNSWatch reabrirá automáticamente una alerta resuelta.
No puede resolver una alerta que tiene una conexión abierta.
Para resolver una alerta, en la página de Alertas:
- Marque la casilla de selección para una o más alertas
- Haga clic en Resolver Alertas Seleccionadas.
Si desea detener las notificaciones por correo electrónico para una alerta, pero no desea cambiar el estado a Resuelto, también puede silenciar las notificaciones por correo electrónico para una alerta. Puede hacer esto después de hacer clic en Ver para ver los detalles de la alerta. Para más información, consulte Ver los Detalles de Alerta de DNSWatch.
Filtrar la Lista de Alertas
Puede filtrar la lista de alertas por dominio, protocolo, dirección IP de la víctima, estado de la resolución, comentarios y clasificación.
Para filtrar la lista de Alertas:
- Haga clic en Filtrar.
Aparece la lista de filtros disponibles.
- Especifique uno o más de los filtros disponibles.
- Haga clic en Aplicar Filtros.
Consejos para los filtros de alerta:
- Para ver alertas de un dominio específico, en el filtro Dominio especifique el nombre de dominio exactamente como aparece en la columna Dominio de la lista Alertas. Debe incluir los corchetes antes y después del punto. Por ejemplo, baddomain[.]com. Para asegurarse de que el dominio sea una coincidencia exacta, puede copiar y pegarlo de la columna Dominio para una alerta al filtro de Dominio.
- Para ver alertas de una red protegida específica, en el filtro IP de la Víctima especifique la dirección IP de la red protegida tal como aparece en la columna Víctima.
Para borrar los filtros en la lista de Alertas:
- Haga clic en Filtros.
- Haga clic en Borrar Filtros.
También puede hacer clic en Alertas en el menú de navegación superior para actualizar la página y borrar los filtros.
Ver Conexiones
Para ver las conexiones asociadas con una alerta, haga clic en Ver para ver los detalles de la alerta. Para más información, consulte Ver los Detalles de Alerta de DNSWatch.
Para ver todas las conexiones denegadas por DNSWatch, haga clic en el enlace Conexiones en la parte superior de la página Alertas.
Para más información, consulte Ver las Conexiones de DNSWatch.
Ver También
Acerca de las Notificaciones por Correo Electrónico de DNSWatch