Modos de Contención de Ataques RDP

Se aplica a: WatchGuard EPDR, WatchGuard EDR

En el panel Indicadores de Ataque, el mosaico Threat Hunting Services muestra cuando las computadoras están en el modo de Contención de Ataques RDP. El modo de Contención de Ataques RDP protege contra situaciones en las que un hacker obtiene acceso a la red de TI a través de una computadora vulnerable, luego busca lateralmente otros dispositivos desprotegidos y usa RDP para moverse de un dispositivo a otro.

WatchGuard Endpoint Security monitoriza los intentos de conectarse a una computadora en la red de TI a través del servicio RDP. Cuando numerosos intentos fallidos se originan en una sola dirección IP, WatchGuard Endpoint Security habilita el modo de Contención de Ataques RDP en la computadora afectada.

Modo de Contención de Ataque RDP Inicial

Cuando una computadora recibe una gran cantidad de intentos de conexión RDP que fallan debido a datos de usuario no válidos, WatchGuard Endpoint Security genera un IOA de Ataque de fuerza bruta contra RDP y pone la computadora en modo de contención de ataque RDP inicial.

En este modo, el acceso RDP a la computadora está bloqueado desde las IP fuera de la red del cliente que han enviado un gran número de intentos de conexión durante las últimas 24 horas.

Si no desea bloquear las conexiones de direcciones IP permitidas específicas, puede agregar esas IP a la lista de permitidos. Para obtener más información, consulte Configurar los Ajustes de Ataque RDP.

Modo de Contención de Ataque RDP Restrictivo

Cuando el atacante puede iniciar sesión con éxito en una cuenta que falló anteriormente debido a datos de usuario no válidos, la computadora en el modo de Contención de Ataque RDP Inicial pasa al modo de Contención de Ataque RDP Restrictivo.

WatchGuard Endpoint Security genera un IOA de Datos de usuario en riesgo después de un ataque de fuerza bruta en RDP, y se considera que la cuenta está en riesgo. Todas las conexiones RDP externas que han intentado conectarse al menos una vez con la computadora objetivo en las últimas 24 horas se bloquean.

Para abrir una lista de computadoras en el modo de Contención de Ataques RDP:

  • En el panel de control Estado > Indicadores de Ataque, haga clic en Ver Todo en el mosaico Threat Hunting Services.


La lista Estado de Protección de Computadoras se abre filtrada para mostrar las computadoras con el modo de Contención de Ataques RDP habilitado.

En la lista Estado de Protección de Computadoras, un ícono de RDP rojo indica que el modo de Contención de Ataques RDP está habilitado. El ícono de RDP parpadea en naranja hasta que WatchGuard Endpoint Security deshabilita el modo de Contención de Ataques de RDP.

Finalizar el Modo de Contención de Ataques RDP

Veinticuatro horas después de que comience el modo de contención, WatchGuard Endpoint Security evalúa la cantidad de intentos de conexión a través de RDP. Si está por debajo del umbral predeterminado, WatchGuard Endpoint Security finaliza automáticamente el modo de Contención de Ataques RDP. Si los intentos continúan, el modo de contención continúa durante otras 24 horas.

Cuando considera que la red es segura y ya no existe el peligro de un ataque RDP, puede finalizar manualmente el modo de Contención de Ataques RDP para una computadora en la página de detalles de la computadora, o desde el menú de opciones en la lista de computadoras. Cuando finaliza manualmente el modo de contención:

  • Se liberan todas las IP registradas y bloqueadas en la computadora
  • La computadora permite conexiones RDP

Si WatchGuard Endpoint Security finaliza automáticamente el modo de contención, no libera las direcciones IP y continúa bloqueándolas.

Para finalizar el modo de Contención de Ataques RDP en la página de detalles de la computadora:

  1. Seleccione una computadora de la lista.
    Se abre la página de detalles de la computadora. El cuadro de notificación muestra que la computadora está en modo de Contención de Ataque RDP.
  2. Para desactivar el modo, haga clic en Finalizar el Modo de Contención de Ataques RDP.

Para finalizar el modo de Contención de Ataques RDP en la lista de Computadoras:

  1. En la barra de navegación superior, seleccione Computadoras.
  2. En la pestaña Mi Organización, seleccione el grupo que contiene la computadora para la que desea finalizar el modo de Contención de Ataques RDP.
  3. En la página Computadoras, en la fila de una computadora que está en modo de Contención de Ataques RDP, haga clic en el menú de opciones .
    Las computadoras con Windows en el modo de Contención de Ataques RDP tienen un ícono RDP rojo junto a la dirección IP.
  4. En el menú de opciones, seleccione Finalizar el Modo de Contención de Ataques RDP.
    El ícono de RDP parpadea en naranja hasta que WatchGuard Endpoint Security deshabilita el modo de Contención de Ataques de RDP.

Estado de Contención de la Computadora

Cuando finaliza el modo de Contención de Ataques RDP, WatchGuard Endpoint Security envía inmediatamente el comando a todas las computadoras objetivo. Cuando el dispositivo es accesible y tiene habilitada la comunicación en tiempo real, la acción se ejecuta inmediatamente.

Si WatchGuard Endpoint Security no puede comunicarse con la computadora, la computadora continúa en modo de contención. WatchGuard Endpoint Security envía el comando nuevamente cada 4 horas durante los próximos 7 días. Si la acción no puede completarse, la Web UI muestra el estado de la computadora en el modo de Contención de Ataques RDP.

Ver También

Configurar los Ajustes de Ataque RDP

Deshabilitar la Comunicación en Tiempo Real