Monitorizar las Remediaciones de TDR

En la página Remediaciones, los Administrators y Analysts pueden ver un resumen de todos los indicadores remediados, crear gráficos de barras y circulares, y completar acciones manuales para varios hosts. Para resaltar la gravedad de las amenazas remediadas, la página Remediaciones muestra la puntuación anterior, que es la puntuación original del indicador antes de que se remediara. Los Observadores solo pueden ver la página.

Ver las Remediaciones

Desde el Panel de Control de TDR, puede usar la Cronología del Indicador para ver una línea de tiempo de los indicadores resueltos. Haga clic en la burbuja de un indicador resuelto para ir a una vista filtrada de la página de Remediaciones. Para obtener más información sobre la página Cronología del Indicador, consulte Panel de Control de TDR.

También puede seleccionar ThreatSync > Remediaciones para ir directamente a la página Remediaciones.

Screen shot of the Remediation Threat Count

Conteo de Amenazas Remediadas

De forma predeterminada, la parte superior de la página Remediaciones muestra el Conteo de Amenazas Remediadas. Este gráfico es un resumen visual de todos los indicadores remediados en el sistema. Las remediaciones se clasifican según las puntuaciones anteriores asignadas a los indicadores antes de la remediación. El número y tamaño de cada burbuja indica el número total de indicadores remediados con puntuaciones anteriores en cada categoría.

Crítico — Puntuaciones de 8, 9 o 10
Alto — Puntuaciones de 6 o 7
Medio/Bajo — Puntuaciones de 3, 4 o 5

Los Conteos de Amenazas Remediadas incluyen todas las remediaciones en el sistema. Estos conteos no cambian según los filtros establecidos en la página Remediaciones.

Para mostrar el resumen de los Conteos de Amenazas Remediadas después de generar otro gráfico, haga clic en .

Indicadores Remediados

Cuando selecciona ThreatSync > Remediaciones, los filtros en la página Remediaciones están configurados para mostrar los indicadores con una puntuación anterior de 6 o más que se remediaron en las últimas 24 horas. Use los encabezados de las columnas para borrar o cambiar los filtros.

Para borrar todos los filtros, haga clic en y seleccione Despejar.
Para aplicar o cambiar un filtro, seleccione los controles en los encabezados de las columnas.

Para buscar indicadores, en el cuadro de texto Buscar ingrese una palabra o valor para buscar. La búsqueda puede encontrar texto en un nombre de archivo, valor MD5, dirección IP, nombre DNS o URL asociados con un indicador.

La lista Remediaciones muestra una lista de indicadores con información de estado y acciones solicitadas. El mismo indicador puede aparecer en la lista varias veces, una vez por cada acción. Esto hace que sea fácil ver todas las acciones para cada indicador.

Para cada indicador, la lista de Remediaciones incluye esta información:

Puntuación Anterior — La puntuación anterior asignada a un indicador antes de que se completara una acción de remediación.
Para obtener más información sobre las puntuaciones de amenazas, consulte Acerca de las Puntuaciones de Amenaza de TDR.
Origen — El origen del indicador: Host Sensor () o Firebox ().
Indicador — Los detalles del indicador. Puede filtrar esta columna por tipo de indicador, tal como se describe en la siguiente sección. Para ver más detalles, haga clic en Información Adicional. Para obtener información sobre los detalles de indicadores, consulte Administrar los Indicadores de TDR.
Host/IP — El nombre de host o la dirección IP del sistema host.
Usuario — El nombre de usuario del usuario.
Acción Solicitada — La acción recomendada por Threat Detection and Response para un indicador de un Host Sensor.
Resultado — Indica la acción de remediación tomada, si la hay. Para ver el registro de acciones y el historial de remediación, haga clic en .
Operator — Indica qué usuario completó una acción de remediación. Si Threat Detection and Response completa una acción, el usuario es Sistema.
Fecha de Acción — La fecha y la hora en que la acción se completó.
Fecha de Remediación — La fecha y hora en que se completó la acción de remediación para este indicador.

Para obtener información sobre qué acciones pueden remediar un indicador, consulte Acciones de Remediación y Puntuaciones de Amenaza de TDR.

Acciones

En la página Remediaciones, puede seleccionar estas acciones para los indicadores seleccionados:

Lista de Permitidos

Esta acción agrega este indicador a la Lista de Permitidos como un archivo o proceso seguro conocido. Cuando selecciona esta acción, se crea una anulación de firma de la Lista de Permitidos con el valor MD5 del indicador. Para más información sobre la Lista de Permitidos, consulte Configurar las Anulaciones de Firmas de TDR.

Retirar archivo de la cuarentena

Esta acción retira un archivo de la cuarentena. Cuando retira un archivo de la Cuarentena, este se agrega automáticamente a la Lista de Permitidos.

Retirar HRP de la cuarentena

Esta acción retira de la cuarentena todos los archivos relacionados con una acción de Host Ransomware Prevention (HRP). Los archivos retirados de la Cuarentena se agregan automáticamente a la Lista de Permitidos.

Para obtener más información sobre las acciones para retirar un archivo de la cuarentena, consulte Eliminar un Archivo de Cuarentena.

Después de seleccionar una de estas acciones, el indicador ya no se considera una amenaza y se elimina de la página Remediaciones.

Crear y Exportar Gráficos de Remediación

De forma predeterminada, la parte superior de la página Remediaciones muestra los Conteos de Amenazas Remediadas, que resume todos los indicadores remediados en su cuenta. En la página Remediaciones, también puede generar gráficos con base en la lista filtrada de indicadores remediados.

Para crear un gráfico:

Configure los filtros para mostrar los indicadores remediados que desea incluir en el gráfico.
Para seleccionar el tipo de gráfico, haga clic en uno de estos iconos:
Gráfico de Barras
Gráfico Circular
Gráfico de Barras Apiladas
Seleccione las opciones de gráficos en la parte superior de cada uno de ellos.

Los gráficos en la página Remediaciones son los mismos que los gráficos en la página Indicadores. Para obtener más información sobre las opciones de gráficos y cómo exportarlos, consulte Administrar los Indicadores de TDR.

Ver También

Administrar los Indicadores de TDR

Acerca de las Puntuaciones de Amenaza de TDR

Acciones de Remediación y Puntuaciones de Amenaza de TDR

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.