Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR y WatchGuard EDR Core
En los ajustes de Protección Avanzada de un perfil de ajustes de estaciones de trabajo y servidores, usted configura las opciones para rastrear la actividad de los programas que se ejecutan en sus computadoras y detectar y bloquear programas maliciosos.
Las funciones disponibles varían para cada plataforma. Para más información, vaya a Protección Avanzada para Dispositivos en Plataformas Windows, Linux y macOS.
Para configurar los ajustes de Protección Avanzada:
- En WatchGuard Cloud, seleccione Configurar > Endpoints.
- Seleccione Ajustes.
- En el panel izquierdo, seleccione Estaciones y Servidores.
- Seleccione un perfil de ajustes de seguridad existente para editarlo, copie un perfil existente o, en la esquina superior derecha de la ventana, haga clic en Añadir para crear un nuevo perfil.
Se abre la página Añadir Configuración o Editar Configuración. - Ingrese un Nombre y Descripción para el perfil, si es necesario.
- Seleccione Protección Avanzada.
- Habilite el interruptor de Protección Avanzada.
- Configure estos ajustes, según sea necesario:
- Haga clic en Guardar.
- Seleccione el perfil y asigne destinatarios, si es necesario.
Para más información, vaya a Asignar un Perfil de Ajustes.
Configurar el Comportamiento de Funcionamiento
El modo de Funcionamiento no está disponible con EDR Core o WatchGuard EPP.
Para configurar el comportamiento operativo, en la sección Comportamiento:
- Para computadoras con Windows, seleccione un Modo de Funcionamiento de la lista (Auditar, Hardening, Bloquear).
Para obtener más información sobre los modos operativos, vaya a Protección Avanzada — Modos de Funcionamiento (Computadoras con Windows).
- Para mostrar un mensaje en una alerta emergente en la computadora del usuario cuando la protección avanzada o las funciones anti-exploit bloquean un archivo, habilite el interruptor Informar a los Usuarios de los Equipos de los Bloqueos.
- (Opcional) Escriba un mensaje personalizado para incluirlo en la alerta.
- Para computadoras Linux, en la lista desplegable Detectar Actividad Maliciosa, seleccione la acción que se tomará cuando WatchGuard Endpoint Security detecta actividad maliciosa.
- Auditar — Reporta las amenazas detectadas, pero no bloquea el malware.
- Bloquear — Reporta y bloquea las amenazas detectadas. Esta es la opción predeterminada.
- No Detectar — El malware no se detecta ni se informa.
Configurar la Protección Anti-Exploit
La tecnología anti-exploit no está disponible en los sistemas ARM de Windows.
La protección antiexploit evita que los programas maliciosos aprovechen las vulnerabilidades conocidas y desconocidas (día cero) en las aplicaciones para obtener acceso a las computadoras de la red corporativa. Para más información, vaya a Acerca de la Protección Anti-Exploit.
Para detectar y bloquear los ataques exploit de vulnerabilidades y el malware metasploit, puede habilitar y configurar la protección antiexploit.
Recomendamos que habilite la protección anti-exploit gradualmente en computadoras con una solución de seguridad de terceros ya instalada para asegurarse de que funcione correctamente.
WatchGuard Advanced EPDR incluye la Inyección Avanzada de Código para detectar mecanismos avanzados para inyectar código en procesos en ejecución.
Para configurar la protección anti-exploit, en la sección Anti-Exploit:
- Habilite el interruptor Anti-Exploit.
- Para computadoras con Windows, seleccione un Modo de Funcionamiento de la lista:
- Auditar — Reporta detecciones de exploits en la UI de administración, pero no toma ninguna acción contra ellas ni muestra información al usuario.
- Bloquear — Bloquea ataques de exploit. En algunos casos, puede ser necesario finalizar el proceso que está en riesgo o reiniciar la computadora. El usuario recibe una notificación del adjunto bloqueado. WatchGuard Endpoint Security cierra automáticamente el proceso que está en riesgo.
- Para notificar a los usuarios cuando la protección anti-exploit bloquea un proceso en riesgo, habilite el interruptor Informar del Bloqueo al Usuario del Equipo.
El usuario recibe una notificación y el proceso que está en riesgo se cierra automáticamente si es necesario. - Para solicitar a los usuarios que cierren un proceso que está en riesgo, habilite el interruptor Solicitar Permiso al Usuario para Finalizar un Proceso En Riesgo.
Cada vez que una computadora en riesgo necesita reiniciarse, el usuario debe proporcionar una confirmación, independientemente de si este interruptor está habilitado.
Muchos exploits continúan ejecutando código malicioso hasta que el proceso correspondiente se cierra. Un exploit no aparece como resuelto en el mosaico Actividad de Exploits en el panel de control de Seguridad en la UI de administración hasta que el programa en riesgo se cierre.
Configurar la Protección contra Ataques de Red (Computadoras con Windows)
La Protección contra Ataques de Red no está disponible con EDR Core o WatchGuard EPP.
Muchos incidentes de seguridad comienzan con ataques que aprovechan las vulnerabilidades de los servicios expuestos a Internet. Si los actores maliciosos logran su objetivo e infectan las computadoras de su organización, debe detener el ataque. Esta función está habilitada de forma predeterminada para bloquear ataques en cuentas nuevas con WatchGuard Endpoint Security.
La Protección contra Ataques de Red escanea el tráfico de la red en tiempo real para detectar y detener amenazas. Previene ataques a la red que intentan explotar vulnerabilidades en servicios abiertos a Internet y en la red interna.
Si desactiva la Protección contra Ataques de Red, aparece como un riesgo en el panel de control de Riesgos. Para más información, vaya a Evaluación de Riesgos en WatchGuard Endpoint Security.
Para habilitar la protección contra ataques de red, habilite el interruptor. Puede seleccionar el modo de funcionamiento:
- Auditar — Permite ataques a la red
- Bloquear — Bloquea el ataque a la red antes de que puedan realizar acciones.
Para obtener una lista de los ataques que WatchGuard Endpoint Security detecta, vaya a Protección Contra Ataques de Red — Tipos de Ataques Detectados.
Puede enviar alertas por correo electrónico cuando la Protección contra Ataques de Red detecte un ataque a la red. Para más información, vaya a Configurar Alertas por Correo Electrónico.
Configurar la Privacidad
WatchGuard Endpoint Security recopila el nombre y la ruta completa de los archivos que envía a WatchGuard Cloud para su análisis, así como el nombre del usuario que inició sesión. Esta información se utiliza en los informes y las herramientas de análisis forense que se muestran en la UI de administración.
Active los interruptores para habilitar la recopilación de datos, en la sección Privacidad.
Configurar el Uso de Red
WatchGuard Endpoint Security envía a WatchGuard Cloud todos los archivos ejecutables desconocidos que se encuentran en las computadoras de los usuarios para su análisis. Este comportamiento está configurado para que no tenga impacto en el ancho de banda de la red del cliente:
- WatchGuard Endpoint Security solo envía un máximo de 50 MB de archivos a WatchGuard Cloud cada hora para cada cliente.
- El agente de endpoint envía cada archivo desconocido una sola vez a todos los clientes que usan WatchGuard Endpoint Security.
- WatchGuard Endpoint Security implementa mecanismos de administración de ancho de banda para evitar el uso intensivo de los recursos de red.
Para configurar el uso de la red, en la sección Uso de la Red:
- En el cuadro de texto Número máximo de MB que se pueden transferir en una hora, ingrese la cantidad máxima de MB para transferir entre las computadoras y dispositivos en su red y WatchGuard Cloud.
Acerca de la Protección Anti-Exploit