Las políticas de automatización de ThreatSync definen las acciones que ThreatSync realiza automáticamente cuando se detecta una amenaza.
Las políticas de automatización permiten a los Respondedores ante Incidentes responder automáticamente a tipos específicos de incidentes para que puedan centrarse en los incidentes más importantes que podrían requerir investigación y remediación manual. Por ejemplo, puede crear una política de automatización para archivar automáticamente tipos específicos de incidentes que tengan una puntuación de riesgo baja.
Puede remediar manualmente cualquier incidente no cubierto por una política de automatización. Para más información, vaya a Realizar Acciones para Remediar Incidentes.
Para obtener más información sobre las políticas de automatización, consulte estas secciones:
- Tipos de Política de Automatización de ThreatSync
- Condiciones y Acciones de Políticas de Automatización ThreatSync
- Precedencia de la Política de Automatización de ThreatSync
- Plantillas de la Política de Automatización de ThreatSync
Le recomendamos que no agregue políticas de automatización distintas a las de Prácticas Recomendadas de ThreatSync hasta que esté familiarizado con los diferentes tipos de incidentes que pueden ocurrir en su entorno y las acciones correctivas remediación que puede realizar.
Tipos de Política de Automatización de ThreatSync
En ThreatSync, puede configurar dos tipos de políticas de automatización:
Política Remediation (Remediación)
Una política de automatización Remediation realiza las acciones de remediación especificadas para los incidentes que reúnen las condiciones de la política.
Política Archive (Archivar)
Una política de automatización Archive cambia el estado de los incidentes que reúnen las condiciones de la política a Archivado.
Condiciones y Acciones de Políticas de Automatización ThreatSync
Para cada política de automatización de ThreatSync, configure condiciones y acciones.
Condiciones
Las condiciones definen cuándo ThreatSync ejecuta una política. Si un incidente cumple con las condiciones de una política, ThreatSync realiza las acciones especificadas.
Puede especificar estas condiciones para cada política.
- Intervalo de Riesgo — Especifica un rango de niveles de riesgo de incidentes. Para más información, vaya a Niveles de Riesgo y Puntuaciones de Riesgo de Incidentes de ThreatSync.
- Tipo de Incidente — Selecciona uno o más tipos de incidentes.
- Tipo de Dispositivo — Selecciona Firebox o Endpoint.
- Acciones Realizadas — Selecciona una o más de estas acciones realizadas sobre un incidente (solo política Archive).
La condición Acciones Realizadas solo está disponible para el tipo de política Archive. Las políticas Remediation tienen una sección separada para seleccionar las acciones de remediación.
Acciones
Las acciones definen lo que hace ThreatSync cuando se ejecuta la política.
Para cada política, debe especificar si la política realiza o evita acciones.
- Perform (Realizar) — ThreatSync realiza las acciones especificadas para los nuevos incidentes que cumplen con las condiciones de la política.
- Prevent (Prevenir) — ThreatSync previene las acciones especificadas. Para crear una excepción de una política más amplia Perform, puede agregar una política con la acción Prevent y clasificarla en un nivel más alto que la otra política en la lista de políticas. Una política con la acción Prevenir no impide la ejecución manual de una acción por parte de un operador.
Para una política Remediation, seleccione una o más de estas acciones de remediación para realizar:
- Bloquear IP de Origen de la Amenaza (solo IP externas) — Bloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes con ThreatSync habilitado en la cuenta WatchGuard Cloud bloquean las conexiones hacia y desde la dirección IP.
- Eliminar Archivo — Elimina los archivos marcados asociados con el incidente.
- Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial.
- Detener Proceso Malicioso — Interrumpe un proceso que mostró un comportamiento malicioso asociado con el incidente.
Para una política Archive, solo hay una acción:
- Archive (Archivar) — Cambia el estado del incidente a Archivado. Esta acción se selecciona automáticamente y no se puede cambiar.
Precedencia de la Política de Automatización de ThreatSync
Las políticas de ThreatSync se clasifican por orden de prioridad relativa de arriba a abajo. Si un incidente coincide con las condiciones configuradas en diversas políticas, ThreatSync realiza la acción especificada en la política de mayor prioridad aplicable.
Cada acción recomendada en un incidente se evalúa en forma individual frente a una política. Si un incidente no tiene una acción recomendada que coincida con una acción especificada en la política, esa política se omite.
Las políticas de automatización asignadas a través de una plantilla aparecen en la parte superior de la lista de políticas de la cuenta Subscriber. Para cambiar el orden de sus políticas y plantillas de automatización, vaya a Administrar las Políticas de Automatización de ThreatSync (Subscribers).
En este ejemplo, tiene dos políticas de automatización con estas condiciones:
Política de Automatización 1
- Intervalo — 1
- Tipo de Política — Remediation
- Intervalo de Riesgo — 8 a 10
- Tipo de Dispositivo — Endpoint, Firebox
- Acciones — Realizar > Detener Proceso Malicioso
Política de Automatización 2
- Intervalo — 2
- Tipo de Política — Remediation
- Intervalo de Riesgo — 8 a 10
- Tipo de Dispositivo — Endpoint, Firebox
- Acciones — Realizar > Aislar Dispositivo, Detener Proceso Malicioso
Se produce un incidente con estos detalles:
- Tipo — IOA
- Nivel de Riesgo — 8
- Tipo de Dispositivo — Endpoint
- Acciones Recomendadas — Realizar > Aislar Dispositivo, Detener Proceso Malicioso, Eliminar Archivo
En este ejemplo:
- La Política de Automatización 2 es la política de mayor rango que se aplica al incidente para la acción recomendada Aislar Dispositivo.
- La Política de Automatización 1 es la política de mayor rango que se aplica al incidente para la acción recomendada Detener Proceso Malicioso.
- No se aplican políticas de automatización al incidente para la acción recomendada Eliminar Archivo.
Resultado:
- ThreatSync aísla automáticamente el dispositivo y detiene el proceso malicioso, pero no intenta eliminar el archivo.
Plantillas de la Política de Automatización de ThreatSync
Puede crear políticas de automatización a nivel de cuenta Subscriber. Para agregar una política de automatización para una cuenta Subscriber, vaya a Administrar las Políticas de Automatización de ThreatSync (Subscribers).
Además, los Service Providers pueden crear plantillas de la política de automatización que incluyan varias políticas de automatización, luego asignar las plantillas a las cuentas o los grupos de cuentas que administran. Esto permite a los Service Providers aplicar políticas de automatización de manera coherente a través de las cuentas administradas, y ahorrar tiempo cuando configuran ThreatSync para nuevas cuentas.
Para configurar plantillas de políticas de automatización para sus cuentas administradas o grupos de cuentas, vaya a Administrar las Plantillas de las Políticas de Automatización de ThreatSync (Service Providers).
Administrar las Políticas de Automatización de ThreatSync (Subscribers)
Administrar las Plantillas de las Políticas de Automatización de ThreatSync (Service Providers)
Configurar Ajustes de Dispositivo de ThreatSync