Políticas de TDR Recomendadas
Para habilitar los Host Sensors para que tomen acción automáticamente contra amenazas de gravedad alta, debe configurar las políticas de TDR. Las políticas recomendadas están habilitadas en su cuenta de TDR de manera predeterminada. Puede modificar estas políticas o agregar nuevas, según los grupos de hosts y los requisitos de su red.
Políticas TDR Predeterminadas
Cada cuenta de TDR tiene tres políticas de remediación predeterminadas y una política de contención predeterminada. Si ha habilitado la función de APT Blocker, también se habilita una Política de APT Blocker de manera predeterminada.
Las tres políticas de remediación predeterminadas permiten a los Host Sensors tomar acciones de remediación para indicadores con diferentes puntuaciones de amenaza en los umbrales de Cybercon de 4, 3 y 2. Con las políticas predeterminadas habilitadas, puede cambiar el nivel de Cybercon (de 3 a 2, por ejemplo) para permitir inmediatamente que los Host Sensors tomen acción contra las amenazas con una puntuación de amenaza menor.
La política de APT Blocker predeterminada permite a los Host Sensors enviar los archivos sospechosos que no coinciden con una amenaza conocida a la caja de arena para que APT Blocker los analice.
La política de contención predeterminada contiene automáticamente los hosts que tienen un incidente con una Puntuación de Amenaza de 8 (Grave). Los hosts contenidos se liberan automáticamente cuando la Puntuación de Amenaza del incidente cae por debajo del umbral. La política de contención predeterminada no está habilitada de forma predeterminada. Habilite la política si desea contener hosts automáticamente.
- Umbral de Cybercon: 4 (se aplica a Cybercon 4, 3, 2 y 1)
- Permitir: la acción de Poner Archivo en la Caja de Arena
- Objetivo: “Todos los Hosts”
- Umbral de Cybercon: 2 (se aplica a Cybercon 2 y 1)
- Umbral de Puntuación de Amenaza: 7 (se aplica a Puntuaciones de Amenaza 7 y superior)
- Permitir: todas las acciones de remediación (Poner Archivo en Cuarentena, Detener Proceso, Eliminar Valor de Registro)
- Objetivo: “Todos los Hosts”
- Umbral de Cybercon: 3 (se aplica a Cybercon 3, 2 y 1)
- Umbral de Puntuación de Amenaza: 8 (se aplica a Puntuaciones de Amenaza 8 y superior)
- Permitir: todas las acciones de remediación (Poner Archivo en Cuarentena, Detener Proceso, Eliminar Valor de Registro)
- Objetivo: “Todos los Hosts”
- Umbral de Cybercon: 4 (se aplica a Cybercon 4, 3, 2 y 1)
- Umbral de Puntuación de Amenaza: 9 (se aplica a Puntuaciones de Amenaza 9 y superior)
- Permitir: todas las acciones de remediación (Poner Archivo en Cuarentena, Detener Proceso, Eliminar Valor de Registro)
- Objetivo: “Todos los Hosts”
- Umbral de Cybercon: 3 (se aplica a Cybercon 3, 2 y 1)
- Umbral de Puntuación de Amenaza: 8 (se aplica a Puntuaciones de Amenaza 8 y superior)
- Objetivo: “Todos los Hosts”
Cuando APT Blocker está habilitado, las cinco políticas predeterminadas de TDR se ven así:
Con estas políticas predeterminadas, todos los Host Sensors realizan estas acciones:
Cuando el nivel de Cybercon es 4:
- Los Host Sensors toman automáticamente acciones de remediación para los indicadores con una Puntuación de Amenaza de 9 o superior.
- Los Host Sensors cargan automáticamente los archivos sospechosos para su análisis en un entorno seguro de caja de arena.
Cuando el nivel de Cybercon es 3:
- Los Host Sensors toman automáticamente acciones de remediación para los indicadores con una Puntuación de Amenaza de 8 o superior.
- Los Host Sensors cargan automáticamente los archivos sospechosos para su análisis en un entorno seguro de caja de arena.
- Los Host Sensors con una Puntuación de Amenaza de incidente de 8 o superior se contienen automáticamente.
Cuando el nivel de Cybercon es 2 o 1:
- Los Host Sensors toman automáticamente acciones de remediación para los indicadores con una Puntuación de Amenaza de 7 o superior.
- Los Host Sensors cargan automáticamente los archivos sospechosos para su análisis en un entorno seguro de caja de arena.
Configurar el Nivel de Cybercon
Cuando usa las políticas predeterminadas de TDR, puede establecer el nivel de Cybercon para que los Host Sensors puedan tomar acciones automatizadas para remediar las amenazas basándose en las políticas activas en cada umbral de Cybercon.
- Para la mayoría de las implementaciones, recomendamos que establezca el nivel de Cybercon en 3.
- Para una postura más conservadora, con una remediación menos automática, establezca el nivel de Cybercon en 4.
- Para una postura más agresiva, con una remediación más automática, establezca el nivel de Cybercon en 2.
Para obtener más información sobre los niveles de Cybercon, consulte Acerca de los Niveles de Cybercon de TDR.
Usar Grupos como Objetivos de Política
Las políticas predeterminadas de TDR son un buen lugar para comenzar con una nueva cuenta de TDR. Pero es probable que desee configurar diferentes políticas para diferentes hosts en su red. Para crear diferentes políticas para diferentes grupos de hosts, puede especificar grupos como objetivos en sus políticas. Puede sincronizar grupos desde su Active Directory Server, o puede definir grupos de TDR basados en nombres de host o direcciones IP. ¡Consejo!
Para obtener más información sobre cómo configurar Grupos, consulte Administrar los Grupos de TDR.
El grupo predeterminado Todos los Hosts incluye todos los hosts que tienen un Host Sensor instalado. Recomendamos que cree grupos separados para clientes y servidores para que pueda crear políticas específicas para estos grupos.
Por ejemplo, podría agregar estos grupos:
- Todos los Clientes — Incluye todas las computadoras cliente con un Host Sensor instalado; no incluye servidores
- Todos los Servidores — Incluye todos los servidores con un Host Sensor instalado
Con estos grupos, puede configurar políticas de remediación para tomar acciones automatizadas para los clientes en un nivel de amenaza diferente al de los servidores. En los niveles de amenaza más altos (umbral de Cybercon más bajo), puede usar el grupo Todos los Hosts para que las políticas se apliquen a todos los hosts.
Ejemplo del Nombre de la Política | Cybercon Umbral |
Amenaza Puntuación Umbral |
Política Objetivo (Grupo) |
Acciones Automatizadas |
---|---|---|---|---|
(sin política) | Cybercon 5 | Ninguno | ||
C4 Amenaza 8 - Solo Clientes | Cybercon 4 | 8 | Todos los Clientes |
- Detener Proceso |
C4 - Poner Todos en Caja de Arena | Cybercon 4 | N/D | Todos los Hosts | - Poner Archivo en la Caja de Arena |
C3 Amenaza 8 - Servidores y Clientes | Cybercon 3 | 8 | Todos los Servidores Todos los Clientes |
- Detener Proceso |
C2 Amenaza 4 - Todos los Hosts | Cybercon 2 | 4 | Todos los Hosts |
- Detener Proceso |
C1 - Amenaza 2 - Todos los Hosts | Cybercon 1 | 2 | Todos los Hosts |
- Detener Proceso |
Consejos para Políticas
Al configurar políticas adicionales, tenga en mente estos consejos:
Use el Umbral de Cybercon para activar políticas rápidamente
- Con las políticas predeterminadas activas, establezca el nivel de Cybercon en 3.
- No configure políticas para Cybercon 5.
- Agregue políticas para los niveles de gravedad de Cybercon más altos (menor número).
- Usted establece el Umbral de Cybercon para sus políticas.
- Usted decide cuándo cambiar el nivel de Cybercon basándose en la actividad actual y en los riesgos en su red para activar políticas para cada Umbral de Cybercon.
Use grupos para objetivos de política:
- Configure grupos para hosts que tengan requisitos similares; por ejemplo, crear un grupo para servidores
- Cree políticas dirigidas a cada grupo
- También puede personalizar la configuración del Host Sensor por grupo
Para más información, vea Administrar Hosts en un Grupo