Modos de Contención de Ataques RDP

Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

En el panel de control Indicadores de Ataque, el mosaico Servicio Threat Hunting muestra cuando las computadoras están en el modo “Contención de Ataque RDP”. El modo “Contención de Ataque RDP” protege contra situaciones en las que un hacker obtiene acceso a la red de TI a través de una computadora vulnerable, luego busca lateralmente otros dispositivos desprotegidos y usa RDP para moverse de un dispositivo a otro.

WatchGuard Endpoint Security monitoriza los intentos de conectarse a una computadora en la red de TI a través del servicio RDP. Cuando numerosos intentos fallidos se originan en una sola dirección IP, WatchGuard Endpoint Security habilita el modo “Contención de Ataque RDP” en la computadora afectada.

Modo “Contención de Ataque RDP” Inicial

Cuando una computadora recibe una gran cantidad de intentos de conexión RDP que fallan debido a datos de usuario no válidos, WatchGuard Endpoint Security genera un IOA de Ataque por fuerza bruta al RDP y pone la computadora en modo “Contención de ataque RDP” inicial.

En este modo, el acceso RDP a la computadora está bloqueado desde las IP fuera de la red del cliente que han enviado un gran número de intentos de conexión durante las últimas 24 horas.

Si no desea bloquear las conexiones de direcciones IP permitidas específicas, puede agregar esas IP a la lista de permitidos. Para más información, vaya a Configurar los Ajustes de Ataque RDP.

Modo “Contención de Ataque RDP” Restrictivo

Cuando el atacante puede iniciar sesión con éxito en una cuenta que falló anteriormente debido a datos de usuario no válidos, la computadora en el modo “Contención de Ataque RDP” Inicial pasa al modo “Contención de Ataque RDP” Restrictivo.

WatchGuard Endpoint Security genera un IOA de Credenciales comprometidas tras ataque por fuerza bruta al RDP, y se considera que la cuenta está en riesgo. Todas las conexiones RDP externas que han intentado conectarse al menos una vez con la computadora objetivo en las últimas 24 horas se bloquean.

Para abrir una lista de computadoras en el modo “Contención de Ataque RDP”:

En el panel de control Estado > Indicadores de Ataque, haga clic en Ver Todos en el mosaico Servicio Threat Hunting.

Screen shot of WatchGuard Endpoint Security, Threat Hunting Service view all
La lista Estado de Protección de los Equipos se abre filtrada para mostrar las computadoras con el modo Contención de Ataques RDP habilitado.

En la lista Estado de Protección de los Equipos, un ícono de RDP rojo indica que el modo “Contención de Ataque RDP” está habilitado. El ícono de RDP parpadea en naranja hasta que WatchGuard Endpoint Security deshabilita el modo “Contención de Ataque RDP”.

Finalizar el Modo “Contención de Ataque RDP”

Veinticuatro horas después de que comience el modo de contención, WatchGuard Endpoint Security evalúa la cantidad de intentos de conexión a través de RDP. Si está por debajo del umbral predeterminado, WatchGuard Endpoint Security finaliza automáticamente el modo Contención de Ataques RDP. Si los intentos continúan, el modo de contención continúa durante otras 24 horas.

Cuando considera que la red es segura y ya no existe el peligro de un ataque RDP, puede finalizar manualmente el modo “Contención de Ataque RDP” para una computadora en la página de detalles de la computadora, o desde el menú de opciones en la lista de computadoras. Cuando finaliza manualmente el modo de contención:

Se liberan todas las IP registradas y bloqueadas en la computadora
La computadora permite conexiones RDP

Si WatchGuard Endpoint Security finaliza automáticamente el modo de contención, no libera las direcciones IP y continúa bloqueándolas.

Para finalizar el modo “Contención de Ataque RDP” en la página de detalles de la computadora:

Seleccione una computadora de la lista.
Se abre la página de detalles de la computadora. El cuadro de notificación muestra que la computadora está en modo “Contención de Ataque RDP”.
Para desactivar el modo, haga clic en Finalizar Modo “Contención de Ataque RDP”.

Para finalizar el modo “Contención de Ataque RDP” en la lista de Equipos:

Seleccione Equipos.
En la pestaña Mi Organización, seleccione el grupo que contiene la computadora para la que desea finalizar el modo “Contención de Ataque RDP”.
En la página Computadoras, en la fila de una computadora que está en modo “Contención de Ataque RDP”, haga clic en .
Las computadoras con Windows en el modo “Contención de Ataque RDP” tienen un ícono RDP rojo junto a la dirección IP.
En el menú de opciones, seleccione Finalizar Modo “Contención de Ataque RDP”.
El ícono de RDP parpadea en naranja hasta que WatchGuard Endpoint Security deshabilita el modo “Contención de Ataque RDP”.

Estado de Contención de la Computadora

Cuando finaliza el modo “Contención de Ataque RDP”, WatchGuard Endpoint Security envía inmediatamente el comando a todas las computadoras objetivo. Cuando el dispositivo es accesible y tiene habilitada la comunicación en tiempo real, la acción se ejecuta inmediatamente.

Si WatchGuard Endpoint Security no puede comunicarse con la computadora, la computadora continúa en modo de contención.WatchGuard Endpoint Security envía el comando nuevamente cada 4 horas durante los próximos 7 días. Si la acción no puede completarse, la UI de administración de Endpoint Security muestra el estado de la computadora en el modo “Contención de Ataque RDP”.

Temas Relacionados

Configurar los Ajustes de Ataque RDP

Deshabilitar la Comunicación en Tiempo Real

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.