Acerca de ThreatSync

ThreatSync es un servicio de WatchGuard Cloud que proporciona tecnología eXtended Detection and Response (XDR) para los productos de seguridad de red (Firebox) y Endpoint Security de WatchGuard. Este servicio:

Proporciona una interfaz de usuario principalmente para Respondedores ante Incidentes.
Muestra detecciones maliciosas como incidentes.
Correlaciona eventos para crear nuevas detecciones maliciosas.
Permite a los respondedores responder a pedido o configurar respuestas automatizadas ante detecciones maliciosas y comportamientos anormales.

Para obtener más información acerca de ThreatSync, vaya a estas secciones:

Licencia de ThreatSync
Correlación
Niveles de Riesgo y Puntuaciones de Riesgo de Incidentes de ThreatSync
UI de Administración de ThreatSync
Remediación de Incidentes

Licencia de ThreatSync

ThreatSync es una función de seguridad unificada de WatchGuard incluida con estas licencias:

Total Security Suite (TSS) del Firebox
WatchGuard EPDR
WatchGuard EDR
Advanced EPDR

WatchGuard EDR Core está incluido en Total Security Suite del Firebox. Para más información, vaya a Funciones de WatchGuard EDR Core.

Cuantos más productos de WatchGuard tenga, a más visibilidad y funciones XDR ampliadas tendrá acceso.

Correlación

ThreatSync proporciona capacidades de detección extendidas a través de la correlación de datos desde estos productos de seguridad de WatchGuard:

Fireboxes
WatchGuard Endpoint Security (Advanced EPDR, EPDR, EDR y EDR Core)

Para enviar datos a ThreatSync y recibir acciones, los Fireboxes deben ejecutar Fireware v12.9 o superior y deben añadirse a WatchGuard Cloud para la generación de registros y presentación de informes o la administración en la nube.

ThreatSync utiliza estos eventos para la correlación:

Amenazas Persistentes Avanzadas (APT) detectadas en la red y encontradas en un endpoint o Firebox
Malware detectado en la red y encontrado en un endpoint o Firebox
Conexión de red maliciosa correlacionada con un proceso de endpoint o Firebox

La UI de administración de ThreatSync presenta estos eventos correlacionados como incidentes para que usted los revise y administre.

Niveles de Riesgo y Puntuaciones de Riesgo de Incidentes de ThreatSync

ThreatSync asigna automáticamente a cada incidente una puntuación de riesgo que aparece en las páginas Monitorizar > Resumen y Monitorizar > Incidentes. La puntuación de riesgo identifica la gravedad del incidente.

El nivel de riesgo está dividido en estas categorías, basado en la puntuación del riesgo:

Crítico — Puntuaciones de 9 o 10
Alto — Puntuaciones de 7 o 8
Medio — Puntuaciones de 4, 5 o 6
Bajo — Puntuaciones de 1, 2 o 3

ThreatSync calcula la puntuación de riesgo para un incidente en función de un algoritmo que correlaciona los datos de distintos productos y servicios de WatchGuard.

Las distintas puntuaciones de riesgo en cada nivel de riesgo indican la gravedad relativa de un incidente y proporcionan orientación a los Respondedores ante Incidentes sobre qué incidentes deben priorizar para su revisión. Por ejemplo, si ThreatSync asigna a un incidente crítico una puntuación de riesgo de 9 y a otro incidente crítico una puntuación de 10, recomendamos que revise el 10 primero porque representa un riesgo más alto.

UI de Administración de ThreatSync

Para configurar y monitorizar ThreatSync, utilice la UI de administración de ThreatSync en WatchGuard Cloud. Para conectarse a WatchGuard Cloud, vaya a cloud.watchguard.com e inicie sesión con las credenciales de su cuenta.

Configurar ThreatSync

Para configurar ThreatSync, seleccione Configurar > ThreatSync.

Screen shot of the default Configure ThreatSync page

Los Subscribers pueden usar estas páginas para configurar ThreatSync en WatchGuard Cloud:

Políticas de Automatización — En la página Políticas de Automatización, usted configura políticas para realizar acciones de manera automática sobre incidentes específicos. Para más información, vaya a Acerca de las Políticas de Automatización de ThreatSync.
Ajustes de Dispositivo — En la página Ajustes de Dispositivo, puede seleccionar qué dispositivos envían datos de incidentes a ThreatSync. Para más información, vaya a Configurar Ajustes de Dispositivo de ThreatSync
IP Bloqueados por ThreatSync — En la página IP bloqueados por ThreatSync, puede desbloquear las direcciones IP bloqueadas por una acción de ThreatSync. Para más información, vaya a Administrar Direcciones IP Bloqueadas por ThreatSync.

La vista de Service Providers muestra una página en la que se pueden configurar plantillas de políticas de automatización. Para más información, vaya a Administrar las Plantillas de las Políticas de Automatización de ThreatSync (Service Providers).

Monitorizar ThreatSync

Para monitorizar ThreatSync, seleccione Monitorizar > Amenazas. La página Resumen se abre de forma predeterminada tanto para Service Providers como para Subscribers.

Screen shot of the Summary page in ThreatSync

Utilice estas páginas para monitorizar ThreatSync en WatchGuard Cloud:

Página Resumen — La página Resumen proporciona una instantánea de la actividad de incidentes de su cuenta. Para más información, vaya a Resumen de Incidentes de ThreatSync.
Página Incidentes — La página Incidentes muestra una lista de incidentes para un período específico y lo habilita a realizar acciones para remediar incidentes. Para más información, vaya a Monitorizar Incidentes de ThreatSync.

Remediación de Incidentes

Cuando un producto o servicio WatchGuard detecta una amenaza a la seguridad, puede tomar una acción para prevenirla. Por ejemplo, un Firebox puede bloquear una dirección IP maliciosa, o el software Endpoint Security puede aislar un dispositivo. En la UI de administración de ThreatSync, las respuestas automáticas a un incidente aparecen en la página Detalles del Incidente. Para más información, vaya a Revisar Detalles de Incidentes.

En ThreatSync, hay dos maneras de remediar incidentes:

Acciones Manuales Realizadas por un Usuario en ThreatSync

A medida que monitoriza las amenazas detectadas por ThreatSync y revisa los detalles del incidente, puede decidir realizar una acción manual para remediar el incidente, o revertir una acción que un producto o servicio de WatchGuard haya realizado automáticamente. Por ejemplo, puede bloquear una dirección IP, eliminar un archivo malicioso o aislar una computadora.

Cuando revisa un incidente, puede realizar acciones manualmente desde varias ubicaciones en la UI de administración de ThreatSync.

Para más información, vaya a Realizar Acciones para Remediar Incidentes.

Acciones que una Política de Automatización Realiza Automáticamente

Puede configurar políticas de automatización para realizar automáticamente acciones sobre los incidentes que cumplen con las condiciones que usted defina. Por ejemplo, puede crear una política de automatización para eliminar automáticamente archivos asociados con un tipo de incidente específico con una puntuación de riesgo de 9 o 10.

Las políticas de automatización permiten que los Respondedores ante Incidentes se centren en la revisión de incidentes que podrían requerir remediación manual. Los Service Providers pueden utilizar plantillas de políticas de automatización para asignar múltiples políticas a las cuentas o grupos de cuentas que administran.

Para más información, vaya a Acerca de las Políticas de Automatización de ThreatSync.

Temas Relacionados

Inicio Rápido — Configurar ThreatSync

Prácticas Recomendadas de ThreatSync

Configurar ThreatSync

Monitorizar ThreatSync

About WatchGuard EDR Core

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.