Realizar Acciones para Remediar Incidentes

A medida que monitoriza las amenazas detectadas por ThreatSync y revisa los detalles del incidente, puede decidir realizar acciones para remediar un incidente, o revertir una acción que un producto o servicio de WatchGuard haya realizado automáticamente.

Para enviar datos a ThreatSync y recibir acciones, los Fireboxes deben ejecutar Fireware v12.9 o superior y deben añadirse a WatchGuard Cloud para la generación de registros y presentación de informes o la administración en la nube.

Puede realizar estas acciones manualmente desde la interfaz de usuario de ThreatSync:

Bloquear IP/Desbloquear IP — Bloquea o desbloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes en la cuenta WatchGuard Cloud bloquean o desbloquean las conexiones hacia y desde la dirección IP.
Las direcciones IP bloqueadas por ThreatSync no aparecen en la lista de Sitios Bloqueados del Firebox en Fireware o WatchGuard Cloud. Para más información, vaya a Administrar Direcciones IP Bloqueadas por ThreatSync.
Eliminar Archivo/Restaurar Archivo — Elimina el archivo marcado asociado al incidente, o restaura un archivo previamente eliminado.
Aislar Dispositivo/Dejar de Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial, o deja de aislar una computadora previamente aislada.
Detener Proceso — Interrumpe un proceso que mostró un comportamiento malicioso asociado con el incidente.

No todas las acciones se aplican a todos los tipos de incidentes.

Para realizar una acción para uno o varios incidentes, desde la página Incidentes:

Seleccione Monitorizar >Amenazas > Incidentes.
Se abre la página Incidentes.
En la columna de la izquierda, marque la casilla de selección correspondiente a uno o varios incidentes.
Aparecen los menús Cambiar Estado y Acciones.
En la lista desplegable Acciones, seleccione la acción que desea realizar.

Screenshot of the Actions drop-down list in the Incidents page

Las recomendaciones para un incidente en la página Detalles del Incidente determinan qué acciones están disponibles en la lista desplegable Acciones de la página Incidentes. Por ejemplo, si la acción recomendada para un incidente es aislar un dispositivo, se activa la opción Aislar/Dejar de aislar dispositivo en la lista desplegable Acciones.

Para realizar una acción para un incidente, desde la página Detalles del Incidente:

Seleccione Monitorizar >Amenazas > Incidentes.
Se abre la página Incidentes.
Haga clic en un incidente en la lista de incidentes.
Se abre la página Detalles del Incidente.
Para realizar una acción:
- En la sección Detalles de Amenaza, haga clic en una acción.
- En otras secciones, haga clic en el icono del rayo para abrir el menú de acciones y, a continuación, seleccione una acción.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

Si se produce un error y ThreatSync no puede realizar una acción, aparecerá un icono con un signo de exclamación rojo o un mensaje de error. Para más información, vaya a Resolución de Problemas de Errores de Incidentes.

Puede configurar notificaciones para generar alertas cuando se realicen acciones. Para más información, vaya a Configurar las Reglas de Notificación de ThreatSync.

Detener o Revertir una Acción

En caso de ser necesario, puede detener o revertir una acción realizada anteriormente. Por ejemplo, si realizó una acción para bloquear una dirección IP, puede desbloquear la dirección IP.

Para detener o revertir una acción, desde la página Incidentes:

Seleccione Monitorizar >Amenazas > Incidentes.
Se abre la página Incidentes.
En la columna de la izquierda, marque la casilla de selección correspondiente a uno o varios incidentes.
Aparecen los menús Cambiar Estado y Acciones.
En la lista desplegable Acciones, seleccione la acción que desea detener o revertir.

Para detener o revertir una acción, desde la página Detalles del Incidente:

Seleccione Monitorizar >Amenazas > Incidentes.
Se abre la página Incidentes.
Haga clic en un incidente en la lista de incidentes.
Se abre la página Detalles del Incidente.
En la sección Detalles de Amenaza, seleccione la acción que desea detener o revertir.

Screenshot of the Threat Details section showing the Stop button to stop a process or action

Para desbloquear una dirección IP, desde la página IP Bloqueados por ThreatSync:

Seleccione Configurar > ThreatSync > IP Bloqueados por ThreatSync.
Se abre la página IP Bloqueados por ThreatSync.
Seleccione una o varias direcciones IP bloqueadas.
Haga clic en Desbloquear.
Todos los Fireboxes elegibles dejan de bloquear el tráfico hacia y desde las direcciones IP seleccionadas.

Temas Relacionados

Revisar Detalles de Incidentes

Archivar o Cambiar el Estado de los Incidentes

Administrar Direcciones IP Bloqueadas por ThreatSync

Resolución de Problemas de Errores de Incidentes

Inicio Rápido — Configurar ThreatSync

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.