Para optimizar la recopilación y correlación de datos de sus dispositivos de red y endpoint para detectar y responder a las amenazas, le recomendamos que siga estas prácticas recomendadas para instalar y configurar ThreatSync:
- Antes de Empezar
- Ajustes Recomendados del Firebox
- Ajustes Recomendados de Endpoint Security
- Configurar los Ajustes de Dispositivo
- Mejores Prácticas de Configuración de Política de automatización
- Excepciones de Sitios Bloqueados
- Reglas de Notificación Recomendadas
Antes de Empezar
Antes de instalar y configurar ThreatSync, asegúrese de que cumple los requisitos previos de Firebox y Endpoint Security especificados en Inicio Rápido — Configurar ThreatSync.
Ajustes Recomendados del Firebox
Para asegurarse de que su Firebox envía datos de incidentes a ThreatSync:
- Confirme que estos servicios de seguridad que generan incidentes de ThreatSync están habilitados y configurados en el Firebox:
- APT Blocker
- Gateway AntiVirus
- WebBlocker
- IPS
- Para Fireboxes Administrados Localmente:
- Habilite la inspección de contenido en acciones de proxy HTTPS. Para más información, vaya a Proxy HTTPS: Inspección de Contenido.
- Habilite la generación de registros para todas las políticas y servicios. Para más información, vaya a Establecer las Preferencias de Generación de Registros y Notificación.
- Para Fireboxes administrados en la nube, habilite la opción Descifrar el Tráfico HTTPS en las políticas de firewall salientes para el tráfico web. Para más información, vaya a Configurar los Tipos de Tráfico en una Política de Firewall.
Ajustes Recomendados de Endpoint Security
Los ajustes varían para WatchGuard Advanced EPDR, EPDR, EDR, EDR Core y EPP. En esta sección, Endpoint Security se refiere en general a todos los productos. Si no tiene una configuración en la UI de administración de Endpoint Security, su producto no la admite.
Para asegurarse de que Endpoint Security envía todos los datos de telemetría e incidentes necesarios a ThreatSync, confirme que estos ajustes de Endpoint Security estén habilitados:
- Ajustes de Seguridad para Estaciones de Trabajo y Servidores
- Protección Avanzada
- Modo operativo (Modo Bloqueo)
- Protección Antiexploit
- Antivirus
- Protección Avanzada
- Indicadores de Ataque (IOA)
Para obtener más información sobre los ajustes de Endpoint Security, vaya a Administrar Ajustes.
Configurar los Ajustes de Dispositivo
Cuando habilita ThreatSync para una cuenta, se habilita automáticamente en los dispositivos endpoint y Fireboxes asignados a la cuenta. Estos dispositivos envían datos automáticamente a ThreatSync.
Le recomendamos que habilite ThreatSync en todos los Fireboxes de su cuenta. Para asegurarse de que ThreatSync recibe datos de incidentes y acciones de cualquier Firebox nuevo que agregue a su cuenta, marque la casilla de selección Habilitar ThreatSync automáticamente en Fireboxes recién agregados en la página Ajustes de Dispositivo.
Para más información, vaya a Configurar Ajustes de Dispositivo de ThreatSync.
Mejores Prácticas de Configuración de Política de automatización
Para ayudarle a organizar y monitorizar sus políticas de automatización, le recomendamos que empiece con estas prácticas recomendadas.
Personalizar los Nombres de las Políticas de Automatización
Para que sus políticas de automatización sean más fáciles de entender y mantener, proporcione un nombre de la política significativo que especifique el propósito de la política, a qué se aplica y cualquier otra característica única.
Por ejemplo, si desea incluir el tipo de política, el intervalo de riesgo o la acción realizada en el nombre de la política, puede llamar a su política Remediación_6-7_Aislar o Archivo_1-3.
Política de Automatización de Remediación Recomendada
Para asegurarse de que ThreatSync lo proteja automáticamente de incidentes de alto riesgo, le recomendamos que cree una política de automatización para incidentes con un intervalo de riesgo de 7-10.
Recomendación sobre la Política Remediation
- Intervalo — 1
- Tipo de Política — Remediation
- Intervalo de Riesgo — 7-10
- Tipo de Dispositivo — Endpoint, Firebox
- Acciones — Realizar > Aislar Dispositivo
Esta política aísla automáticamente de la red los dispositivos afectados por incidentes con una puntuación de 7 o superior para evitar la propagación de la amenaza. Esto le permite analizar dispositivos aislados e investigar los detalles de los incidentes. Para más información, vaya a Revisar Detalles de Incidentes.
Política de Automatización de Archivos Recomendada
Para reducir la cantidad de incidentes de bajo riesgo en la lista de incidentes y poder centrarse en los incidentes de mayor riesgo, le recomendamos que cree una política de archivo que se aplique a los incidentes con una puntuación de riesgo de 1.
Recomendación sobre la Política Archive
- Tipo de Política — Archive
- Intervalo de Riesgo — 1
- Tipo de Dispositivo — Endpoint, Firebox
- Acciones — Realizar > Archivar
Esta política archiva automáticamente los incidentes con una puntuación de riesgo de 1. Le recomendamos que revise los incidentes archivados y decida si son necesarias otras acciones. Para revisar su lista de incidentes archivados, filtre los incidentes por estado en la página Incidentes. Para más información, vaya a Monitorizar Incidentes de ThreatSync.
Si no tiene tiempo para investigar todos los incidentes de bajo riesgo, considere la posibilidad de modificar su política de archivo para aumentar el intervalo de riesgo a 1-3.
Para obtener más información sobre las políticas de automatización, vaya a Acerca de las Políticas de Automatización de ThreatSync.
Excepciones de Sitios Bloqueados
Si descubre que ThreatSync bloquea direcciones IP críticas, como la dirección IP de un servidor que utiliza su equipo de marketing, le recomendamos que configure una excepción de Sitios Bloqueados para la dirección IP en su Firebox. Cuando agrega una excepción de Sitios Bloqueados para una dirección IP, el Firebox siempre permite el tráfico hacia y desde esa dirección IP, incluso si aparece en la lista de IP bloqueados por ThreatSync a través de una acción manual o por una política de automatización.
Para obtener información sobre cómo crear excepciones de sitios bloqueados para Fireboxes administrados localmente, vaya a Crear Excepciones de Sitios Bloqueados.
Para obtener información sobre cómo puede agregar excepciones para los Fireboxes administrados en la nube, vaya a Agregar Excepciones en WatchGuard Cloud.
Reglas de Notificación Recomendadas
Una práctica recomendada es monitorizar los incidentes en la interfaz de usuario de ThreatSync a medida que se generan. Puede ver la página Resumen de Incidentes de ThreatSync para obtener una instantánea de la actividad de incidentes, y puede configurar reglas de notificación en WatchGuard Cloud para generar alertas y enviar notificaciones por correo electrónico para incidentes nuevos, acciones específicas realizadas e incidentes archivados.
Para facilitar la respuesta cuando surgen amenazas, le recomendamos que establezca una regla de notificación para los incidentes de mayor riesgo.
Recomendación sobre la Regla de Notificación
- Tipo de Notificación — Nuevo Incidente
- Intervalo de Riesgo — 7-10
- Tipo de Incidente — Selecciona Todos los Tipos de Incidentes
- Tipo de Dispositivo — Selecciona Todos los Tipos de Dispositivos
- Método de Entrega — Correo Electrónico
- Frecuencia — Envía Todas las Alertas
Esta regla de notificación genera una alerta que aparece en la página Alertas en WatchGuard Cloud y también envía un correo electrónico de notificación a los destinatarios especificados.
Para más información sobre cómo configurar reglas de notificación, vaya a Configurar las Reglas de Notificación de ThreatSync.
Inicio Rápido — Configurar ThreatSync
Prácticas Recomendadas de Configuración del Firebox
Acerca de la Generación de Registros y Notificación de Firebox