Inicio Rápido — Configurar ThreatSync

Este tema de inicio rápido describe los pasos generales para instalar y configurar ThreatSync en WatchGuard Cloud:

Antes de Empezar

No es necesario adquirir una nueva licencia para habilitar y utilizar ThreatSync.

Para poder utilizar ThreatSync, asegúrese de que:

  • Tiene un Firebox con una suscripción a Total Security Suite que está conectado a WatchGuard Cloud para la generación de registros y presentación de informes, o una licencia completa o de prueba de WatchGuard Endpoint Security (EPDR, Advanced EPDR o EDR) instalada en uno o más dispositivos de endpoint.

WatchGuard EDR Core está incluido en Total Security Suite del Firebox. Para más información, vaya a Funciones de WatchGuard EDR Core.

  • Su Firebox ejecuta Fireware v12.9 o posterior.
  • Su software Endpoint Security Windows es v.8.00.21.0001 o superior.
  • Si tiene licencias tanto de Firebox como de Endpoint Security, el endpoint está detrás del Firebox.

Cuantos más productos WatchGuard tenga, más información tendrá ThreatSync para correlacionar eventos.

Le recomendamos que espere unos minutos después de la activación de la licencia para habilitar ThreatSync.

Habilitar ThreatSync en Su Cuenta

Para habilitar ThreatSync para su cuenta, en WatchGuard Cloud:

  1. En el Administrador de Cuentas, seleccione su cuenta.
  2. Seleccione Monitorizar > Amenazas o Configurar > ThreatSync.

Screen shot of the Enable ThreatSync widget

  1. En el mosaico ThreatSync, haga clic en Habilitar ThreatSync.
    Se abre el cuadro de diálogo Habilitar ThreatSync. ThreatSync se habilita automáticamente en todos los endpoints y Fireboxes de su cuenta.

Screen shot of the Enable ThreatSync dialog box

  1. Haga clic en Cerrar.
    Se abre la página Ajustes de Dispositivo.

Configurar los Ajustes de Dispositivo

Cuando habilita ThreatSync, se habilita automáticamente en sus dispositivos de endpoint y en cualquier Firebox asignado a su cuenta. Puede configurar si los dispositivos de endpoint o Fireboxes específicos envían datos a ThreatSync en la página Ajustes de Dispositivo.

Para configurar los ajustes de dispositivo de ThreatSync:

  1. Seleccione Configurar > ThreatSync > Ajustes de Dispositivo.
    Se abre la página Ajustes de Dispositivo.
  2. Para especificar si se envían datos de incidentes de todos los dispositivos de endpoint a ThreatSync, habilite o deshabilite el interruptor Endpoints.
  3. Para especificar qué Fireboxes envían datos y reciben acciones de ThreatSync, desmarque o marque las casillas de selección situadas junto a los nombres de Firebox.

    Screenshot of ThreatSync Device Settings page

  4. Para habilitar automáticamente ThreatSync para cualquier Firebox nuevo que asigne a la cuenta en WatchGuard Cloud, marque la casilla de selección Habilitar ThreatSync automáticamente en Fireboxes recién agregados.
  5. Haga clic en Guardar.

Monitorizar Amenazas

El menú Monitorizar > Amenazas de la UI de administración de ThreatSync muestra un resumen de la actividad de incidentes correlacionados durante un período de tiempo específico. Hay dos páginas disponibles en el menú:

Página Resumen

La página Resumen se abre de forma predeterminada desde el menú Monitorizar > Amenazas tanto para Service Providers como para Subscribers. Esta página proporciona un resumen de la actividad de incidentes de su cuenta.

Screen shot of the ThreatSync Summary Page in WatchGuard Cloud

Los mosaicos muestran la cantidad de incidentes en cada nivel de riesgo y con diferentes estados, así como una escala de tiempo de cuándo se produjeron los incidentes. Haga clic en el título de un mosaico para ver los detalles de esos incidentes en la página Incidentes.

Para más información, vaya a Resumen de Incidentes de ThreatSync.

Página Incidentes

La página Incidentes proporciona una lista centralizada de incidentes para que los Respondedores ante Incidentes puedan revisarla y administrarla. Puede filtrar la lista por fecha, tipo de incidente, acción, riesgo o estado, y puede realizar acciones en uno o varios incidentes.

Screen shot of the Incidents page in ThreatSync

De forma predeterminada, la lista se ordena por nivel de riesgo en orden descendente, para que pueda ver las amenazas más críticas en la parte superior de la lista de incidentes y tomar acción si es necesario. Para más información, vaya a Monitorizar Incidentes de ThreatSync.

Para ver información más detallada de un incidente específico, haga clic en el incidente de la lista. Para más información, vaya a Revisar Detalles de Incidentes

Puede configurar reglas de notificación en WatchGuard Cloud para enviar alertas de eventos ThreatSync. Para más información, vaya a Configurar las Reglas de Notificación de ThreatSync.

Realizar Acciones para Remediar Incidentes

Mientras monitoriza las amenazas detectadas por ThreatSync y revisa los detalles del incidente, puede decidir tomar una de estas acciones para remediar el incidente:

  • Bloquear IP — Bloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes en la cuenta WatchGuard Cloud bloquean las conexiones hacia y desde la dirección IP. La dirección IP bloqueada no aparece en la lista de sitios bloqueados del Firebox.
  • Eliminar Archivo — Elimina los archivos marcados asociados con el incidente.
  • Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial.
  • Detener Proceso — Interrumpe un proceso asociado con el incidente que mostró un comportamiento malicioso.

No todas las acciones se aplican a todos los tipos de incidentes.

Para realizar una acción para uno o varios incidentes, desde la página Incidentes:

  1. Seleccione Monitorizar >Amenazas > Incidentes.
    Se abre la página Incidentes.
  2. En la columna de la izquierda, marque la casilla de selección correspondiente a uno o varios incidentes.
    Aparecen los menús Cambiar Estado y Acciones.
  3. En la lista desplegable Acciones, seleccione la acción que desea realizar.

Screenshot of the Actions drop-down list in the Incidents page

Las recomendaciones para un incidente en la página Detalles del Incidente determinan qué acciones están disponibles en la lista desplegable Acciones de la página Incidentes. Por ejemplo, si la acción recomendada para un incidente es aislar un dispositivo, se activa la opción Aislar/Dejar de aislar dispositivo en la lista desplegable Acciones.

Para realizar una acción para un incidente, desde la página Detalles del Incidente:

  1. Seleccione Monitorizar >Amenazas > Incidentes.
    Se abre la página Incidentes.
  2. Haga clic en un incidente en la lista de incidentes.
    Se abre la página Detalles del Incidente.
  3. Para realizar una acción:
    • En la sección Detalles de Amenaza, haga clic en una acción.
    • En otras secciones, haga clic en el icono del rayo para abrir el menú de acciones y, a continuación, seleccione una acción.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

Para más información sobre acciones de remedición, visite Realizar Acciones para Remediar Incidentes.

También puede archivar o cambiar el estado de los incidentes después de revisarlos. Para más información, vaya a Archivar o Cambiar el Estado de los Incidentes.

Agregar Políticas de Automatización

Puede configurar políticas de automatización para que realicen automáticamente acciones de ThreatSync por usted. Por ejemplo, podría crear una política de automatización para archivar automáticamente los incidentes con un nivel de riesgo bajo.

Le recomendamos que no agregue políticas de automatización distintas a las de Prácticas Recomendadas de ThreatSync hasta que esté familiarizado con los diferentes tipos de incidentes que pueden ocurrir en su entorno y las acciones correctivas remediación que puede realizar.

Para agregar una política de automatización (cuentas Subscriber):

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Si es un Service Provider y desea agregar una política de automatización a su propia cuenta Subscriber, en el Administrador de Cuentas, seleccione Mi Cuenta.
  3. Seleccione Configurar > ThreatSync.
    Se abre la página Políticas de Automatización.
  1. Haga clic en Agregar Política de Automatización.
    Se abre la página Agregar Política.

Screen shot of the Add Policy page in ThreatSync

  1. Para habilitar la nueva política, haga clic en el interruptor Habilitado.
  2. Ingrese un Nombre para su política y cualquier comentario relevante.
  3. En la sección Tipo de Política, en la lista desplegable Tipo, seleccione el tipo de política que desea crear:
    • Remediation — La política de automatización realiza las acciones de remediación especificadas para los incidentes que cumplen las condiciones.
    • Archive — La política de automatización cambia el estado de los incidentes que cumplen las condiciones a Archivado.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. En la sección Condiciones, especifique las condiciones que debe cumplir un incidente para que se aplique esta política de automatización:

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Tipo de Incidente — Seleccione uno o más de estos tipos de incidentes:
      • Política de Seguridad Avanzada — La ejecución de scripts maliciosos y programas desconocidos que utilizan técnicas avanzadas de infección.
      • Exploit — Ataques que intentan inyectar código malicioso para explotar procesos vulnerables.
      • Intento de Intrusión — Un evento de seguridad en el que un intruso intenta obtener acceso no autorizado a un sistema.
      • IOA — Los Indicadores de Ataque (IOA) son indicadores que tienen alta probabilidad de ser un ataque.
      • URL Maliciosa — URL creada para distribuir malware, como ransomware.
      • IP Maliciosa — Una dirección IP asociada a una actividad maliciosa.
      • Malware — Software malicioso diseñado para dañar, interrumpir y obtener acceso no autorizado a sistemas informáticos.
      • PUP — Programas Potencialmente No Deseados (PUP) que pueden instalarse cuando se instala otro software en una computadora.
      • Virus — Código malicioso que se introduce en los sistemas informáticos.
      • Programa Desconocido — El programa fue bloqueado porque aún no ha sido clasificado por WatchGuard Endpoint Security.

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • Tipo de Dispositivo — Seleccione uno o varios de estos tipos de dispositivos:
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • Acciones Realizadas — Seleccione una o más de las acciones realizadas sobre un incidente (solo tipo de política Archive).
      • Conexión Bloqueada — Conexión bloqueada.
      • Proceso Bloqueado — Proceso bloqueado por un dispositivo de endpoint.
      • Dispositivo Aislado — La comunicación con el dispositivo está bloqueada.
      • Archivo Eliminado — El archivo se clasificó como malware y se eliminó.
      • IP Bloqueada — Las conexiones de red hacia y desde esta dirección IP están bloqueadas.
      • Proceso Detenido — Proceso finalizado por un dispositivo de endpoint.

  2. En la sección Acciones, en la lista desplegable, seleccione si desea realizar o impedir las acciones especificadas.
    • Perform (Realizar) — ThreatSync realiza las acciones especificadas para los nuevos incidentes que cumplen con las condiciones de la política.
    • Prevent (Prevenir) — ThreatSync previene las acciones especificadas. Para crear una excepción de una política más amplia Perform, puede agregar una política con la acción Prevent y clasificarla en un nivel más alto que la otra política en la lista de políticas. Una política con la acción Prevenir no impide la ejecución manual de una acción por parte de un operador.
  1. Seleccione una o varias de estas acciones para realizarlas o impedirlas:
    • Bloquear IP de Origen de la Amenaza (solo IP externas) — Bloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes con ThreatSync habilitado en la cuenta WatchGuard Cloud bloquean las conexiones hacia y desde la dirección IP.
    • Eliminar Archivo — Elimina los archivos marcados asociados con el incidente.
    • Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial.
    • Detener Proceso Malicioso — Interrumpe un proceso que mostró un comportamiento malicioso asociado con el incidente.
    • Archivar el Incidente — Cambia el estado del incidente a Archivado (solo en el tipo de política Archive).

    2. Si el tipo de política es Archive, la acción Archivar el Incidente se selecciona automáticamente y no se puede seleccionar una acción diferente.

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. Haga clic en Agregar.
    La nueva política se agrega a la lista de políticas.

Los Service Providers pueden crear plantillas de políticas de automatización que incluyan múltiples políticas de automatización y luego asignarlas a sus cuentas administradas. Para más información, vaya a Administrar las Plantillas de las Políticas de Automatización de ThreatSync (Service Providers).

Temas Relacionados

Acerca de ThreatSync

Prácticas Recomendadas de ThreatSync

Configurar ThreatSync

Monitorizar ThreatSync

Configurar las Reglas de Notificación de ThreatSync