Acerca de los Niveles de Cybercon de TDR

El concepto del nivel de Cyber Condition (Cybercon) es fundamental para Threat Detection and Response. El nivel de Cybercon representa la preparación de una empresa para defenderse del ataque. Los niveles de Cybercon están numerados de 5 (menos grave) a 1 (más grave). El nivel 5 de Cybercon indica una posición que favorece las operaciones comerciales sobre las precauciones de seguridad disruptivas. El nivel 1 de Cybercon indica una posición que permite tomar precauciones de seguridad más fuertes que podrían afectar las operaciones comerciales. Como parte de sus procedimientos de seguridad de red, usted define los niveles de Cybercon para que tengan un significado específico para su organización.

Cybercon 5 — No se detectaron incidentes
Cybercon 4 — Nivel de amenaza bajo, se monitorea en busca de más incidentes
Cybercon 3 — Nivel de amenaza moderado, nivel moderado de respuesta
Cybercon 2 — Nivel de amenaza alto, mayor nivel de respuesta y remediación
Cybercon 1 — Nivel de amenaza más alto, nivel de respuesta y remediación más alto

Una vez que ha definido los niveles de Cybercon, estos son su guía para los tipos de políticas que usted crea para cada nivel. La idea fundamental es que, a medida que su organización avance a un nivel de Cybercon más severo, usted habilite Threat Detection and Response para realizar más acciones automatizadas para mitigar las amenazas.

El nivel actual de Cybercon se muestra en la parte superior del panel de navegación.

Screen shot that shows the CYBERCON level in the Threat Correlation & Response UI

El nivel de Cybercon no cambia automáticamente según las amenazas detectadas. Los Administrators pueden cambiar el nivel de Cybercon.

Umbral de Cybercon

En la configuración de la Política de ThreatSync, usted configura las políticas que definen las acciones que los Host Sensors pueden tomar en los diferentes niveles de Cybercon. En cada política, usted especifica un Umbral de Cybercon, el cual define los niveles de Cybercon a los que se aplica la política. Una política está activa solo cuando el Umbral de Cybercon en la política es igual o mayor que el nivel de Cybercon. Por ejemplo, una política con un Umbral Cybercon de 3 está activa solo cuando el nivel de Cybercon es 3, 2 o 1.

Para políticas más agresivas, establezca el Umbral de Cybercon a un número bajo. Para políticas menos agresivas, establezca el Umbral de Cybercon a un número más alto. Una vez que haya configurado las políticas para cada nivel de Cybercon, puede cambiar el nivel de Cybercon para activar rápidamente un conjunto de políticas más agresivo para responder a una amenaza. Para más información, consulte Configurar las Políticas de TDR.

Cambiar el Nivel de Cybercon

Un Administrator puede cambiar el nivel de Cybercon. Todos los otros usuarios pueden ver el nivel de Cybercon, pero no pueden cambiarlo.

Para cambiar el nivel de Cybercon:

Iniciar Sesión en TDR.
Seleccione Monitorizar > Detección de Amenazas.
Para aumentar o disminuir el nivel de Cybercon, junto al nivel de Cybercon, haga clic en las flechas hacia arriba o hacia abajo.
Se abre un cuadro de diálogo de confirmación.
Haga clic en SÍ.

Todas las políticas con un Umbral de Cybercon menor o igual que el nivel de Cybercon seleccionado están activas. Por ejemplo, si el nivel de Cybercon es 4, todas las políticas con un Umbral de Cybercon de 4 o 5 están activas.

Acerca de las Políticas Activas de TDR

Las políticas activas en su cuenta de TDR dependen del nivel de Cybercon, del Umbral de Cybercon y del rango configurado en sus políticas de TDR. Si las políticas activas cambian, ya sea debido a un cambio en el nivel de Cybercon o un cambio en la configuración de las políticas, las políticas activas se aplican inmediatamente a los nuevos indicadores que cumplen con los criterios de las políticas. Después de un cambio en las políticas o el nivel de Cybercon, TDR también revalúa los indicadores existentes que tienen uno de estos resultados anteriores:

Sin Política — No hubo una política activa para realizar la acción de remediación solicitada
Bloqueado por Política — Una política de remediación bloqueó la acción de remediación solicitada

Dado que puede realizar varios cambios en las políticas de TDR en un corto periodo de tiempo, TDR espera cinco minutos después del último cambio en la política o en el nivel de Cybercon antes de revaluar los indicadores existentes.

Las políticas de APT Blocker solo pueden aplicarse a indicadores nuevos. TDR no reevalúa los indicadores existentes cuando el nivel Cybercon o las políticas activas de APT Blocker cambian.

Ver También

Configurar las Políticas de TDR

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.