Administrar las Políticas de Automatización de ThreatSync (Subscribers)

Las políticas de automatización de ThreatSync definen las acciones que ThreatSync realiza automáticamente cuando se detecta una amenaza. Cuando un incidente cumple las condiciones especificadas en la política de automatización, ThreatSync realiza las acciones especificadas (por ejemplo, eliminar el archivo y aislar el dispositivo). Cuando hay más de una política de automatización asignada a una cuenta, ThreatSync aplica las políticas a los dispositivos en el orden mostrado en la página Políticas de Automatización.

En la página Políticas de Automatización de una cuenta Subscriber, usted puede:

Los Service Providers pueden crear plantillas de la política de automatización que incluyan varias políticas de automatización, luego asignar las plantillas a las cuentas que administran. Si usted es Subscriber, las políticas de automatización asignadas a su cuenta a través de una plantilla aparecen en la parte superior de la lista de políticas. Para más información, vaya a Administrar las Plantillas de las Políticas de Automatización de ThreatSync (Service Providers).

Agregar una Política de Automatización (Subscribers)

Cuando se agrega una política de automatización, se especifican las condiciones y acciones que ThreatSync realiza para un incidente.

Para agregar una política de automatización:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Para las cuentas Service Provider, en Administrador de Cuentas, seleccione Mi Cuenta.
  3. Seleccione Configurar > ThreatSync.
    Se abre la página Políticas de Automatización.
  1. Haga clic en Agregar Política de Automatización.
    Se abre la página Agregar Política.

Screen shot of the Add Policy page in ThreatSync

  1. Para habilitar la nueva política, haga clic en el interruptor Habilitado.
  2. Ingrese un Nombre para su política y cualquier comentario relevante.
  3. En la sección Tipo de Política, en la lista desplegable Tipo, seleccione el tipo de política que desea crear:
    • Remediation — La política de automatización realiza las acciones de remediación especificadas para los incidentes que cumplen las condiciones.
    • Archive — La política de automatización cambia el estado de los incidentes que cumplen las condiciones a Archivado.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. En la sección Condiciones, especifique las condiciones que debe cumplir un incidente para que se aplique esta política de automatización:

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Tipo de Incidente — Seleccione uno o más de estos tipos de incidentes:
      • Política de Seguridad Avanzada — La ejecución de scripts maliciosos y programas desconocidos que utilizan técnicas avanzadas de infección.
      • Exploit — Ataques que intentan inyectar código malicioso para explotar procesos vulnerables.
      • Intento de Intrusión — Un evento de seguridad en el que un intruso intenta obtener acceso no autorizado a un sistema.
      • IOA — Los Indicadores de Ataque (IOA) son indicadores que tienen alta probabilidad de ser un ataque.
      • URL Maliciosa — URL creada para distribuir malware, como ransomware.
      • IP Maliciosa — Una dirección IP asociada a una actividad maliciosa.
      • Malware — Software malicioso diseñado para dañar, interrumpir y obtener acceso no autorizado a sistemas informáticos.
      • PUP — Programas Potencialmente No Deseados (PUP) que pueden instalarse cuando se instala otro software en una computadora.
      • Virus — Código malicioso que se introduce en los sistemas informáticos.
      • Programa Desconocido — El programa fue bloqueado porque aún no ha sido clasificado por WatchGuard Endpoint Security.

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • Tipo de Dispositivo — Seleccione uno o varios de estos tipos de dispositivos:
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • Acciones Realizadas — Seleccione una o más de las acciones realizadas sobre un incidente (solo tipo de política Archive).
      • Conexión Bloqueada — Conexión bloqueada.
      • Proceso Bloqueado — Proceso bloqueado por un dispositivo de endpoint.
      • Dispositivo Aislado — La comunicación con el dispositivo está bloqueada.
      • Archivo Eliminado — El archivo se clasificó como malware y se eliminó.
      • IP Bloqueada — Las conexiones de red hacia y desde esta dirección IP están bloqueadas.
      • Proceso Detenido — Proceso finalizado por un dispositivo de endpoint.

  2. En la sección Acciones, en la lista desplegable, seleccione si desea realizar o impedir las acciones especificadas.
    • Perform (Realizar) — ThreatSync realiza las acciones especificadas para los nuevos incidentes que cumplen con las condiciones de la política.
    • Prevent (Prevenir) — ThreatSync previene las acciones especificadas. Para crear una excepción de una política más amplia Perform, puede agregar una política con la acción Prevent y clasificarla en un nivel más alto que la otra política en la lista de políticas. Una política con la acción Prevenir no impide la ejecución manual de una acción por parte de un operador.
  1. Seleccione una o varias de estas acciones para realizarlas o impedirlas:
    • Bloquear IP de Origen de la Amenaza (solo IP externas) — Bloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes con ThreatSync habilitado en la cuenta WatchGuard Cloud bloquean las conexiones hacia y desde la dirección IP.
    • Eliminar Archivo — Elimina los archivos marcados asociados con el incidente.
    • Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial.
    • Detener Proceso Malicioso — Interrumpe un proceso que mostró un comportamiento malicioso asociado con el incidente.
    • Archivar el Incidente — Cambia el estado del incidente a Archivado (solo en el tipo de política Archive).

    2. Si el tipo de política es Archive, la acción Archivar el Incidente se selecciona automáticamente y no se puede seleccionar una acción diferente.

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. Haga clic en Agregar.
    La nueva política se agrega a la lista de políticas.

Habilitar o deshabilitar una Política de Automatización

En la lista Políticas de Automatización, puede habilitar o deshabilitar políticas de automatización específicas en una cuenta Subscriber. Por ejemplo, durante un evento de seguridad, es posible que desee deshabilitar las políticas de automatización que archivan incidentes para poder revisar toda la actividad de ThreatSync.

Si su Service Provider asignó una política a su cuenta a través de una plantilla, la política aparecerá en primer lugar en la lista de políticas de automatización, pero no podrá habilitarla ni deshabilitarla.

También puede habilitar o deshabilitar una política de automatización cuando la edita.

Para habilitar o deshabilitar una política de automatización:

  1. Seleccione Configurar > ThreatSync.
  2. En la página Políticas de Automatización, haga clic en el nombre de la política de automatización que desee habilitar o deshabilitar.
    Se abre la página Editar Política.
  3. Haga clic en el interruptor Habilitado para habilitar o deshabilitar la política de automatización.
  4. Haga clic en Guardar.

Cambiar el Orden de las Políticas de Automatización

En la página Políticas de Automatización, puede cambiar el orden de prioridad de las políticas de automatización para clasificarlas de arriba a abajo. Cuando un incidente reúne las condiciones configuradas en diversas políticas, ThreatSync realiza la acción especificada en la política de mayor rango aplicable.

Screen shot of the Automation Policies page in ThreatSync

Cada acción recomendada en un incidente se evalúa en forma individual frente a una política. Si un incidente no tiene una acción recomendada que coincida con una acción especificada en la política, esa política se omite. Para más información, vaya a Precedencia de la Política de Automatización de ThreatSync.

Para cambiar el orden de las políticas de automatización en la lista de políticas:

  • Haga clic en el controlador de movimiento de la política de automatización que desee mover y arrástrela hacia arriba o hacia abajo en la lista.
  • Implemente los cambios en su política.

Implementar una Política de Automatización

Después de agregar, actualizar, habilitar o deshabilitar una política de automatización, la página Políticas de Automatización muestra un banner de mensaje que indica que tiene cambios de política sin implementar.

Screen shot of a banner message on the Automation Policies page that says "Policy changes have not yet been deployed."

Para implementar una política de automatización y aplicar los cambios, haga clic en Implementar.

Los cambios se implementan en el motor de decisión de ThreatSync, que luego envía acciones a los Fireboxes o dispositivos de endpoint cuando los incidentes coinciden con la política.

Temas Relacionados

Acerca de las Políticas de Automatización de ThreatSync

Administrar las Plantillas de las Políticas de Automatización de ThreatSync (Service Providers)

Administrar Direcciones IP Bloqueadas por ThreatSync

Configurar Ajustes de Dispositivo de ThreatSync

Configurar ThreatSync

Acerca de ThreatSync