Ver los Detalles de Alerta de DNSWatch

Cuando DNSWatch niega una conexión de usuario a un dominio sospechoso, genera una alerta con información sobre el incidente.

Puede ir a la página de Detalles de Alerta en la página de Alertas en DNSWatch o puede hacer clic en el enlace del correo electrónico de notificación de alerta de DNSWatch. Para obtener más información sobre los correos electrónicos de notificación de DNSWatch, consulte Acerca de las Notificaciones por Correo Electrónico de DNSWatch.

Para ver los detalles de una alerta de DNSWatch:

  1. Inicie sesión en su cuenta de DNSWatch.
  2. Haga clic en Informe > Alertas.
    Se abre la página Alertas.
  3. En la columna Acciones para una alerta, haga clic en Ver.
    Se abre la página de detalles de la alerta.

Screen shot of the alert details page

Información de Resumen y Acciones

La parte superior de la página incluye la misma información de resumen que aparece en la lista de Alertas:

  • Dominio — El dominio en la solicitud de DNS
  • Víctima — La dirección IP pública de la red protegida desde la cual se recibió la solicitud de DNS
  • Clasificación — El tipo de amenaza, según lo clasificado por el equipo de análisis de DNSWatch en WatchGuard
  • Protocolo — El protocolo que se utiliza en la conexión con el Servidor Blackhole

Otra información de resumen y acciones aparecen en el lado derecho. Esta información incluye:

  • Información de conexión — El número total de conexiones y si hay actualmente una conexión abierta
  • Acciones — Acciones para resolver, anular la resolución, silenciar la alerta o informar la alerta como un falso positivo
  • Primera Vez Visto — La primera fecha y hora en que DNSWatch recibió una solicitud de DNS a este dominio desde esta red protegida
  • Ultima Vez Visto — La fecha y hora más reciente en que DNSWatch recibió una solicitud de DNS a este dominio desde esta red protegida

Resolver o No Resolver una Alerta

Puede cambiar el estado de una alerta a Resuelto. Puede hacer esto después de haber finalizado cualquier discusión o investigación y si la considera resuelta. Cuando el estado de una alerta es “Resuelto”, DNSWatch no envía alertas por correo electrónico cuando hay un cambio en los comentarios. Si se observa una nueva conexión para el dominio desde la misma red protegida, DNSWatch reabrirá automáticamente una alerta resuelta.

  • Para cambiar el estado de la alerta a Resuelto, haga clic Resolver Alerta.
  • Para cambiar la alerta al estado sin resolver, haga clic en No Resolver la Alerta.

Deshabilitar o Habilitar Correos Electrónicos de Notificación para una Alerta

De forma predeterminada, DNSWatch envía correos electrónicos de notificación cuando una alerta no resuelta se actualiza. Puede silenciar las alertas en la página de detalles de la alerta si desea deshabilitar las notificaciones por correo electrónico para una alerta, pero no desea cambiar el estado de la alerta a Resuelto.

  • Para deshabilitar las notificaciones por correo electrónico para una alerta, haga clic en Silenciar Alertas.
  • Para habilitar las notificaciones por correo electrónico para una alerta, haga clic en Habilitar Alertas.

Detalles

La pestaña Detalles muestra información sobre la víctima, el destino y el tipo de malware.

Información de la Víctima

La Víctima es el host que realizó la solicitud de DNS que fue denegada por DNSWatch. El Servidor Blackhole de DNSWatch intenta recopilar información para ayudarlo a identificar el origen de la solicitud de DNS en su red protegida. La información que DNSWatch recopila incluye:

  • Ubicación de la víctima — La dirección IP pública de la red protegida desde la cual se recibió la solicitud de DNS
  • Direcciones IP de la Víctima — La dirección IP local de la víctima según lo que informa el malware, si se conoce
  • Nombre de Host de la Víctima — El nombre de host de la víctima
  • Nombre de usuario de la víctima — El nombre de usuario de la víctima

Es posible que los detalles de las direcciones IP de las víctimas no siempre estén disponibles en DNSWatch. Esto se debe a que la capacidad de comunicarse con el explorador y extraer información depende del tipo de explorador que la víctima utilice. DNSWatch puede extraer información de los exploradores Chrome, Firefox y Edge, aunque cada alerta no contiene todos los detalles recopilados. Internet Explorer y Safari no permiten que DNSWatch extraiga esta información. Algunas características de seguridad, como TLS, también pueden evitar la recopilación de datos que no están cifrados.

Si más de una interfaz externa de Firebox usa la misma dirección IP pública, DNSWatch no puede determinar cuál de las redes protegidas fue el origen de una solicitud de DNS de esa dirección IP pública. En este caso, la Ubicación de la víctima en la alerta podría no reflejar con precisión qué red protegida fue el origen de la solicitud de DNS.

Para obtener más información sobre el Servidor Blackhole de DNSWatch, consulte Acerca de los Servidores DNSWatch Blackhole.

Información del Destino

La información del destino incluye el dominio en la solicitud de DNS y el puerto que se utiliza para conectarse al Servidor Blackhole.

Información del Malware

La sección de información del malware incluye el Protocolo y las Ubicaciones del malware. Si DNSWatch pudo determinar la ubicación del malware en una computadora víctima, esta ubicación contiene la ruta del malware en la computadora víctima.

Comentario

Para solicitar ayuda del Equipo de Soporte DNSWatch de WatchGuard, puede agregar un comentario o una pregunta a una alerta.

Screen shot of the Comment section of the Details for an alert

El Equipo de Soporte DNSWatch de WatchGuard puede adjuntar comentarios para responder su pregunta o proporcionar más información sobre la alerta. Su comentario y todas las respuestas aparecen en la pestaña Discusión. Puedes agregar un comentario en la pestaña Detalles o la pestaña Discusión.

Para comentar sobre una alerta desde la pestaña Detalles:

  1. Escriba el comentario o la pregunta para el Equipo de Soporte DNSWatch de WatchGuard.
  2. Para aplicar estilos al texto, puede utilizar Markdown. Para ver un texto de ejemplo, haga clic en Estilo con Markdown compatible. ¡Consejo!
  3. Haga clic en la pestaña Vista Previa para obtener una vista previa de su comentario.
  4. Hacer clic en Comentario para agregar su comentario a esta alerta.
    El comentario aparece en la pestaña Discusión.

Cuando agrega un comentario a una alerta sin resolver que no tiene alertas silenciadas, DNSWatch envía un correo electrónico de notificación de alerta que incluye el comentario y un enlace que vincula a los detalles de la alerta.

Discusión

En la pestaña Discusión puede ver todos los comentarios de una alerta. Esto incluye los comentarios del Equipo de Soporte DNSWatch de WatchGuard o de cualquier usuario en su cuenta.

Para comentar sobre una alerta desde la pestaña Discusión:

  1. Escriba el comentario o la pregunta para el Equipo de Soporte DNSWatch de WatchGuard.
  2. Para aplicar estilos al texto, puede utilizar Markdown. Para ver un texto de ejemplo, haga clic en Estilo con Markdown compatible. ¡Consejo!
  3. Haga clic en la pestaña Vista Previa para obtener una vista previa de su comentario.
  4. Hacer clic en Comentario para agregar su comentario a esta alerta.
    El comentario aparece en la pestaña Discusión.

Análisis de Dominio

La pestaña Análisis de Dominio muestra el dominio asociado con la alerta. También muestra por qué el dominio fue bloqueado por DNSWatch.

Acciones de Análisis de Dominio

Para cada artículo en la pestaña Análisis de Dominio, puede realizar estas acciones:

Eliminar de la Lista de Bloqueados

Para un dominio o subdominio que se encuentra en su Lista de Bloqueados de DNSWatch, esta acción lo elimina de la Lista de Bloqueados. Para más información, consulte Administrar Dominios en la Lista de Bloqueados de DNSWatch.

Agregar a la Lista de Permitidos

Para un dominio o subdominio que se encuentra en una Fuente de Dominio, esta acción lo agrega a la Lista de Permitidos. Para más información, consulte Administrar Dominios en la Lista de Permitidos de DNSWatch.

Análisis de Conexión

Cuando una víctima se conecta al Servidor Blackhole de DNSWatch, DNSWatch recopila detalles sobre la conexión para su análisis. El Equipo de Soporte DNSWatch de WatchGuard utiliza la información recopilada para analizar y clasificar la alerta.

La información recopilada incluye:

  • Datos de Flujo de Red
  • Bytes de Conexión Inicial
  • Detalles del Protocolo Analizado

La pestaña Análisis de Conexión incluye la información de conexión para la primera conexión asociada con esta alerta. Para ver información sobre otras conexiones, seleccione la pestaña Conexiones.

Historial

La pestaña Historial es una lista de acciones que toman los usuarios de DNSWatch para una alerta y muestra qué usuario de DNSWatch en su cuenta realizó cada acción. Debajo de Eventos, puede ver cada vez que un usuario resuelve o no resuelve una alerta, o cuando un usuario silencia o habilita la notificación por correo electrónico para una alerta.

Conexiones

La pestaña Conexiones muestra una lista de conexiones relacionadas con una alerta. Para cada conexión, muestra la dirección IP de origen y el puerto, y la hora de inicio y finalización de la conexión. Para ver los detalles de una conexión, haga clic en Ver. La información de la conexión es la misma que la información en la pestaña Análisis de Conexión.

La información recopilada incluye:

  • Datos de Flujo de Red
  • Bytes de Conexión Inicial
  • Detalles del Protocolo Analizado

Ver También

Administrar las Alertas de DNSWatch

Acerca de los Servidores DNSWatch Blackhole