Mejores Prácticas de Implementación de TDR
Un Host Sensor de TDR puede poner archivos en cuarentena, detener procesos, eliminar entradas de registro y aislar hosts de la red automáticamente si identifica un archivo o proceso como ransomware u otro tipo de amenaza. Debido a que el Host Sensor toma acciones que podrían afectar a otras aplicaciones instaladas en sus hosts, recomendamos que considere y pruebe estas mejores prácticas para su implementación de TDR.
Para completar los procedimientos de grupo y anulación descritos en este tema, debe iniciar sesión en TDR como Analyst. Para cambiar globalmente todos los ajustes predeterminados de Host Sensor, se requiere un rol de Administrator o Analyst.
Implementación del Host Sensor en Fases
Si el Host Sensor identifica un archivo o proceso como una amenaza, y las políticas de TDR activas permiten una acción de remediación, el Host Sensor actúa automáticamente para deshabilitarlo. Para identificar interacciones potenciales con otro software instalado en el que usted confía, recomendamos que primero implemente y pruebe los Host Sensors en un pequeño conjunto de hosts que ejecuten aplicaciones comúnmente usadas en su red. Una pequeña implementación piloto puede permitirle identificar cualquier interacción entre el Host Sensor y otras aplicaciones, de modo que pueda agregar excepciones para resolver cualquier problema de interoperabilidad o de rendimiento antes de una implementación más amplia.
Debe decidir cuántos y qué tipos de host incluir en su implementación piloto. Para cada host, instale el Host Sensor y luego use otro software en el host. Monitorice los indicadores en su cuenta de TDR para ver las amenazas y acciones informadas por los Host Sensors.
Si un Host Sensor identifica una amenaza, puede observar los detalles en el indicador para ver el nombre del archivo o proceso y por qué se lo consideró una amenaza.
Para ver los indicadores de un host:
- Iniciar Sesión en TDR.
- Seleccione Monitorizar > Detección de Amenazas.
- En la sección ThreatSync, seleccione Indicadores.
Se abre la página Indicadores. - Borre todos los filtros y luego filtre o busque por el nombre de host.
- Para ver más información sobre un indicador, en la columna Indicador, haga clic en Información Adicional.
Para obtener más información sobre la página Indicadores, consulte Administrar los Indicadores de TDR.
Si el Host Sensor identifica una aplicación de confianza como una amenaza, puede agregar el valor de MD5 a las Anulaciones de Firmas como un artículo de la Lista de Permitidos. TDR no genera indicadores para los archivos que agregue a la Lista de Permitidos.
Para agregar un archivo a la Lista de Permitidos:
- En la página Indicadores, busque el indicador para la aplicación que desea agregar a la Lista de Permitidos.
- Marque la casilla de selección junto al indicador.
- En la lista desplegable Acciones Solicitadas, seleccione Listado de Permitidos.
Se abre el cuadro de diálogo Confirmar Acción. - Haga clic en Ejecutar Acción.
Si el Host Sensor causa problemas de rendimiento o conflictos con otro software que causa que el Host Sensor u otro software no funcione, puede agregar una exclusión para la ruta de instalación del software. Una exclusión causa que el Host Sensor ignore los archivos en la ruta especificada.
Para obtener más información sobre cómo agregar exclusiones, consulte Configurar las Exclusiones de TDR.
Si el Host Sensor pone un archivo en cuarentena, lo cifra y almacena en el directorio de cuarentena del host. Para retirar un archivo de la cuarentena:
- En la página Indicadores, busque el indicador correspondiente. Para un indicador con una acción de Poner en Cuarentena exitosa, la puntuación de amenaza es 1.
- Seleccione el indicador.
- Seleccione la acción Retirar Archivo de la Cuarentena o Retirar HRP de la Cuarentena. La acción disponible depende de si el archivo fue puesto en cuarentena por Host Ransomware Prevention (HRP) o como resultado de la acción Poner Archivo en Cuarentena.
Para obtener más información sobre cómo retirar un archivo de la cuarentena, consulte Eliminar un Archivo de Cuarentena.
Agregar Exclusiones para Antivirus de Computadora
El Host Sensor de TDR y el antivirus de la computadora detectan y previenen las amenazas. Para prevenir conflictos entre el Host Sensor y el software antivirus de la computadora, le recomendamos que agregue exclusiones en TDR y en su software antivirus de computadora. Para facilitar esto, TDR tiene conjuntos de exclusión predefinidos para muchos productos antivirus populares.
Configurar el Software Antivirus de Computadora para Excluir las Rutas de Archivos de TDR
En la configuración del software antivirus de la computadora, agregue el directorio de instalación de Host Sensor de TDR a la lista de exclusiones o Lista de Permitidos.
Los directorios que se van a excluir son:
c:\Program Files (x86)\WatchGuard\Threat Detection and Response\
c:\Program Files\WatchGuard\Threat Detection and Response\
Consulte la documentación de su proveedor de software antivirus para obtener instrucciones sobre cómo editar la lista de exclusiones o lista de permitidos.
Configurar TDR para Excluir las Rutas de Archivos Antivirus de Computadora
En TDR, agregue exclusiones para las ubicaciones donde está instalado su software antivirus. TDR incluye conjuntos de exclusión predefinidos para muchos productos antivirus populares. Si su producto antivirus no es una exclusión predefinida, puede crear exclusiones personalizadas. Las rutas para excluir son diferentes para cada proveedor de antivirus de computadora, y pueden ser diferentes para cada versión de sistema operativo o de software antivirus. Pruebe el Host Sensor con el software antivirus de su computadora para asegurarse de que excluyó todas las rutas necesarias.
Para obtener más información sobre cómo agregar exclusiones, consulte Configurar las Exclusiones de TDR.
Para obtener enlaces a las guías de integración para TDR y los proveedores populares de AV de escritorio, consulte las Guías de Integración.
Configurar Grupos de Hosts
Algunas funciones de TDR descritas en esta versión de Ayuda de Fireware están disponibles solo para los participantes del programa Beta de WatchGuard. Si una función descrita en esta sección no está disponible en su cuenta TDR, esta es solo una función beta. Para obtener información sobre cómo habilitar las funciones beta, consulte Habilitar las Funciones Beta de TDR.
De forma predeterminada, los ajustes globales del Host Sensor y las políticas TDR predeterminadas se aplican a todos los Host Sensors implementados. Recomendamos que configure Grupos de Hosts para que pueda configurar fácilmente diferentes ajustes y políticas de Host Sensor para cada grupo. Puede usar los Grupos de Hosts para agrupar los hosts que tienen una versión de OS, hardware, aplicaciones o tipo de usuario similares. Por ejemplo, puede crear grupos para Servidores, Computadoras con Windows 7, Computadoras Portátiles, Ventas, Finanzas, Soporte, etc. Después de configurar los Grupos de Hosts, puede cambiar la configuración del Host Sensor para cada grupo, y puede usar los nombres de grupos en sus políticas de TDR. Recomendamos que pruebe algunos hosts en cada grupo como parte de su fase inicial de implementación.
Puede administrar la membresía del grupo de hosts desde la página Dispositivos/Usuarios > Hosts o desde la página Grupos. En la página Hosts, puede seleccionar varios hosts de una lista para agregarlos a un Grupo de Hosts nuevo o existente.
Para cambiar el Grupo de Hosts para uno o más Hosts:
- Seleccione Dispositivos/Usuarios > Hosts.
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Cambiar Grupo de Host.
Se abre el cuadro de diálogo Cambiar Grupo de Host.
- Empiece a escribir el nombre del grupo. Éste puede ser un grupo existente o un grupo nuevo.
Mientras escribe. los nombres de los grupos existentes y la opción de agregar un grupo nuevo aparecen debajo del cuadro de texto. - Seleccione el grupo o seleccione la opción para agregar el grupo nuevo con el nombre que escribió.
Los hosts seleccionados se agregan al grupo que seleccionó. Si seleccionó la opción para agregar un grupo nuevo, se agregará el Grupo de Hosts.
Para eliminar uno o más Host Sensors de un grupo de Hosts.
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Cambiar Grupo de Host.
Se abre el cuadro de diálogo Cambiar Grupo de Host. - Seleccione Ningún Grupo.
Cada host seleccionado se elimina del Grupo de Hosts del que anteriormente era miembro.
Para obtener más información sobre la página Hosts, consulte Administrar Hosts y Host Sensors de TDR.
Configurar los Ajustes de Host Sensor para Grupos de Hosts
Para cada Grupo de Hosts, puede configurar los ajustes de Host Sensor para usarlos para los hosts de ese grupo. En la configuración del Grupo de Hosts, puede anular la configuración global de Host Sensor y especificar diferentes ajustes para el grupo.
Para configurar los ajustes de Host Sensor para un Grupo de Hosts en WatchGuard Cloud:
- Seleccione Configurar > Detección de Amenazas.
- En la sección ThreatSync, seleccione Grupos.
Se abre la página Grupos. - Junto al nombre del grupo, haga clic en .
- Seleccione la pestaña Configuración de Host Sensor.
- Haga clic en el switch Anular la configuración de Host Sensor para este grupo.
- Configure los ajustes de Host Sensor para el grupo.
Ejemplos de Ajustes de Host Sensor de TDR
WatchGuard proporciona los ajustes de configuración del Host Sensor sugeridos como guía. Recomendamos que pruebe primero esta configuración con un pequeño conjunto de hosts para identificar cualquier problema.
La mejor configuración de Host Sensor para sus hosts puede ser diferente según el sistema operativo y las aplicaciones instaladas, el hardware físico o virtual, y otros aspectos del entorno de hosts.
Para obtener detalles sobre cada ajuste del Host Sensor, consulte Detalles del Host Sensor de TDR.
Configuración Recomendada de Host Sensor para la Mayoría de los Hosts de Windows
Estos ajustes proporcionan una buena combinación de prevención y rendimiento de malware, y se sugieren para la mayoría de los sistemas.
Ajustes de Host Sensor | HABILITADO |
Permitir Eventos en Host Sensors | ENCENDIDO |
Modo Host Ransomware Prevention en Host Sensors | PREVENIR |
Host Ransomware Prevention de Aprendizaje Automático | ENCENDIDO |
Permitir Heurística en Host Sensors | ENCENDIDO |
Permitir Módulos Cargados en Host Sensors | APAGADO |
Permitir Valores de Referencia en Host Sensors | ENCENDIDO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de Archivos | ENCENDIDO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de la Conexión de Procesos | ENCENDIDO |
Ajustes de Prevención de Manipulación del Host Sensor | HABILITADO |
Evitar Cambios al Servicio del Host Sensor | ENCENDIDO |
Prevenir la Desinstalación del Host Sensor | ENCENDIDO |
Ajustes de la Configuración del Controlador de Host Sensor | HABILITADO |
Habilitar los Eventos de Proceso del Núcleo | ENCENDIDO |
Habilitar los Eventos de Archivos del Núcleo | ENCENDIDO |
Habilitar los Eventos de Registros del Núcleo | ENCENDIDO |
Habilitar la Acción de Detención de Proceso del Núcleo | ENCENDIDO |
Habilitar la Acción de Eliminación de Archivos del Núcleo | ENCENDIDO |
Habilitar la Acción de Contención del Host del Núcleo | ENCENDIDO |
Habilitar la Enumeración de Identificadores de Archivos del Núcleo | ENCENDIDO |
Habilitar el Escaneo de Módulos del Núcleo | APAGADO |
Ajustes del Ícono del Host Sensor | HABILITADO |
Permitir a los Usuarios Pausar la Protección del Host Sensor | ENCENDIDO |
Habilitar Notificaciones de Valores de Referencia del Ícono de Host Sensor | ENCENDIDO |
Habilitar Notificaciones de Remediación del Ícono de Host Sensor | ENCENDIDO |
Ajustes Recomendados del Host Sensor para la Mejor Protección
Estos ajustes proporcionan el nivel más alto de prevención y remediación de malware, y no permiten a los usuarios pausar o deshabilitar el Servicio de Host Sensor.
Ajustes de Host Sensor | HABILITADO |
Permitir Eventos en Host Sensors | ENCENDIDO |
Modo Host Ransomware Prevention en Host Sensors | PREVENIR |
Host Ransomware Prevention de Aprendizaje Automático | ENCENDIDO |
Permitir Heurística en Host Sensors | ENCENDIDO |
Permitir Módulos Cargados en Host Sensors | ENCENDIDO |
Permitir Valores de Referencia en Host Sensors | ENCENDIDO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de Archivos | ENCENDIDO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de la Conexión de Procesos | ENCENDIDO |
Ajustes de Prevención de Manipulación del Host Sensor | HABILITADO |
Evitar Cambios al Servicio del Host Sensor | ENCENDIDO |
Prevenir la Desinstalación del Host Sensor | ENCENDIDO |
Ajustes de la Configuración del Controlador de Host Sensor | HABILITADO |
Habilitar los Eventos de Proceso del Núcleo | ENCENDIDO |
Habilitar los Eventos de Archivos del Núcleo | ENCENDIDO |
Habilitar los Eventos de Registros del Núcleo | ENCENDIDO |
Habilitar la Acción de Detención de Proceso del Núcleo | ENCENDIDO |
Habilitar la Acción de Eliminación de Archivos del Núcleo | ENCENDIDO |
Habilitar la Acción de Contención del Host del Núcleo | ENCENDIDO |
Habilitar la Enumeración de Identificadores de Archivos del Núcleo | ENCENDIDO |
Habilitar el Escaneo de Módulos del Núcleo | APAGADO |
Ajustes del Ícono del Host Sensor | HABILITADO |
Permitir a los Usuarios Pausar la Protección del Host Sensor | APAGADO |
Habilitar Notificaciones de Valores de Referencia del Ícono de Host Sensor | ENCENDIDO |
Habilitar Notificaciones de Remediación del Ícono de Host Sensor | ENCENDIDO |
Ajustes Recomendados del Host Sensor para el Mejor Rendimiento
Para la menor utilización de recursos por parte del servicio Host Sensor, se pueden aplicar estos ajustes. Tenga en cuenta que estos ajustes deshabilitan algunas funciones del Host Sensor, y pueden reducir la funcionalidad de detección y remediación.
Ajustes de Host Sensor | HABILITADO |
Permitir Eventos en Host Sensors | ENCENDIDO |
Modo Host Ransomware Prevention en Host Sensors | PREVENIR |
Host Ransomware Prevention de Aprendizaje Automático | ENCENDIDO |
Permitir Heurística en Host Sensors | ENCENDIDO |
Permitir Módulos Cargados en Host Sensors | APAGADO |
Permitir Valores de Referencia en Host Sensors | APAGADO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de Archivos | APAGADO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de la Conexión de Procesos | APAGADO |
Ajustes de Prevención de Manipulación del Host Sensor | HABILITADO |
Evitar Cambios al Servicio del Host Sensor | APAGADO |
Prevenir la Desinstalación del Host Sensor | APAGADO |
Ajustes de la Configuración del Controlador de Host Sensor | HABILITADO |
Habilitar los Eventos de Proceso del Núcleo | ENCENDIDO |
Habilitar los Eventos de Archivos del Núcleo | ENCENDIDO |
Habilitar los Eventos de Registros del Núcleo | ENCENDIDO |
Habilitar la Acción de Detención de Proceso del Núcleo | ENCENDIDO |
Habilitar la Acción de Eliminación de Archivos del Núcleo | ENCENDIDO |
Habilitar la Acción de Contención del Host del Núcleo | ENCENDIDO |
Habilitar la Enumeración de Identificadores de Archivos del Núcleo | ENCENDIDO |
Habilitar el Escaneo de Módulos del Núcleo | APAGADO |
Ajustes del Ícono del Host Sensor | HABILITADO |
Permitir a los Usuarios Pausar la Protección del Host Sensor | ENCENDIDO |
Habilitar Notificaciones de Valores de Referencia del Ícono de Host Sensor | ENCENDIDO |
Habilitar Notificaciones de Remediación del Ícono de Host Sensor | ENCENDIDO |
Ajustes Recomendados del Host Sensor en Modo Seguro
Estos ajustes se sugieren para sistemas que experimentan problemas con la funcionalidad del sistema cuando los controladores del núcleo están habilitados. Esta configuración proporciona protección básica contra malware y se sugiere solo con fines de resolución de problemas.
Ajustes de Host Sensor | HABILITADO |
Permitir Eventos en Host Sensors | ENCENDIDO |
Modo Host Ransomware Prevention en Host Sensors | APAGADO o DETECTAR |
Host Ransomware Prevention de Aprendizaje Automático | APAGADO |
Permitir Heurística en Host Sensors | ENCENDIDO |
Permitir Módulos Cargados en Host Sensors | APAGADO |
Permitir Valores de Referencia en Host Sensors | APAGADO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de Archivos | APAGADO |
Permitir que los Host Sensors Almacenen en Caché los Metadatos de la Conexión de Procesos | APAGADO |
Ajustes de Prevención de Manipulación del Host Sensor | HABILITADO |
Evitar Cambios al Servicio del Host Sensor | APAGADO |
Prevenir la Desinstalación del Host Sensor | APAGADO |
Ajustes de la Configuración del Controlador de Host Sensor | HABILITADO |
Habilitar los Eventos de Proceso del Núcleo | APAGADO |
Habilitar los Eventos de Archivos del Núcleo | APAGADO |
Habilitar los Eventos de Registros del Núcleo | APAGADO |
Habilitar la Acción de Detención de Proceso del Núcleo | APAGADO |
Habilitar la Acción de Eliminación de Archivos del Núcleo | APAGADO |
Habilitar la Acción de Contención del Host del Núcleo | APAGADO |
Habilitar la Enumeración de Identificadores de Archivos del Núcleo | APAGADO |
Habilitar el Escaneo de Módulos del Núcleo | APAGADO |
Ajustes del Ícono del Host Sensor | HABILITADO |
Permitir a los Usuarios Pausar la Protección del Host Sensor | APAGADO |
Habilitar Notificaciones de Valores de Referencia del Ícono de Host Sensor | ENCENDIDO |
Habilitar Notificaciones de Remediación del Ícono de Host Sensor | ENCENDIDO |
Para obtener más información sobre la Configuración de Host Sensor, consulte Configurar los Ajustes del Host Sensor de TDR.
Configurar Políticas para Grupos de Hosts
Cada cuenta de TDR tiene políticas predeterminadas habilitadas de manera predeterminada. Estas políticas permiten que los Host Sensors tomen acciones de remediación automatizadas para diferentes niveles de amenaza basándose en el nivel de Cybercon que usted establezca en su cuenta de TDR. Las políticas de TDR predeterminadas se aplican al grupo integrado Todos los Hosts, y definen las acciones automatizadas que el Host Sensor puede realizar para todos los hosts. Para un control más detallado sobre las acciones automatizadas, puede agregar políticas para Grupos de Hosts específicos, o incluso hosts específicos para cambiar las acciones que los Host Sensors pueden realizar.
Por ejemplo, si tiene un grupo de Servidores y no desea que los Host Sensors en los servidores de ese grupo realicen cambios en el registro, puede agregar una política para el grupo de Servidores que especifique que los Host Sensors no pueden realizar la acción Eliminar el Valor del Registro. O bien, si no desea que los Host Sensors de un grupo tomen alguna acción de remediación automatizada, agregue una política para el grupo que especifique que los Host Sensors no pueden realizar las acciones de Poner Archivo en Cuarentena, Detener el Proceso o Eliminar el Valor del Registro.
Si agrega una política para un Grupo de Hosts, asegúrese de que esa política tenga una prioridad mayor en la lista de políticas que otras políticas que se aplican a Todos los Hosts.
Para obtener información sobre las políticas de TDR predeterminadas y recomendadas, consulte Políticas de TDR Recomendadas.