Administrar los Grupos de TDR

En Threat Detection and Response, puede crear grupos de hosts en su red. Con estos grupos, puede hacer lo siguiente:

  • Especificar un nombre de grupo en una política para configurar diferentes políticas para diferentes hosts.
    Para más información, consulte Configurar las Políticas de TDR.
  • Ver y administrar los Host Sensors, la membresía de grupos y los ajustes del Host Sensor para un grupo.
    Para más información, consulte Administrar Hosts en un Grupo.

TDR soporta tres tipos de grupos:

Grupo de Active Directory

Los grupos de Active Directory se crean en TDR cuando AD Helper envía la información del grupo de dispositivos desde su Active Directory Server a TDR. Usted administra la membresía en estos grupos en su controlador de dominio de Active Directory. Puede sincronizar el grupo de Active Directory en su Active Directory Server con TDR desde la página Grupos en TDR.

Grupo de Hosts

Puede agregar un Grupo de Hosts, que es una lista de hosts. Un host puede ser miembro de un solo grupo de Hosts. Un Analyst puede administrar Host Sensors para miembros del grupo y configurar los ajustes del Host Sensor específicos al grupo. Puede crear y agregar miembros a un Grupo de Hosts desde la página Grupos o la página Hosts.

La forma más sencilla de agregar varios hosts a un grupo es desde la página Hosts. Para más información, consulte Administrar Hosts y Host Sensors de TDR.

Grupo de Subred de IP

Puede agregar un grupo de Subred de IP, que es para una subred IPv4 específica. El grupo incluye hosts con direcciones IP en la subred IP especificada para el grupo.

Un operador observer puede ver información sobre grupos, pero no puede editarlos.

En la página Grupos, un Analyst puede hacer lo siguiente:

  • Sincronizar los grupos de Active Directory
  • Agregar, editar y eliminar los grupos de Subred IP y Host
  • Editar los miembros de un Grupo de Hosts
  • Instalar y eliminar Host Sensors para miembros de un grupo de Hosts
  • Configurar los ajustes de Host Sensor para un grupo de Hosts

Consulte Grupos de Threat Detection and Response

Para ver la lista de grupos:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección ThreatSync, seleccione Grupos.
  4. Para ver la información de un grupo de Hosts, junto al nombre del grupo, haga clic en .
    Aparecen los hosts en el grupo y la configuración del Host Sensor para el grupo.

Un Analyst puede agregar y editar Subredes IP y grupos de Host en esta página. Un Analyst también puede administrar la configuración del Host Sensor, e instalar y eliminar Host Sensors para los miembros de un grupo.

Administrar Filtros

Puede filtrar la información que se muestra en la página en la parte superior de cada columna. Puede guardar una configuración de filtro para que la página muestre automáticamente la información especificada cada vez que la abra.

  1. Seleccione los ajustes de la columna que desea guardar.
  2. En el encabezado de la columna del extremo izquierdo, haga clic en .
  3. Seleccione Guardar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Aplicar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Despejar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Eliminar.

Sincronizar un Grupo de Active Directory

En la página Grupos, un Analyst puede sincronizar los grupos de Active Directory. Cuando sincroniza un grupo, AD Helper obtiene información actualizada sobre el grupo desde el controlador de dominio de Active Directory, y actualiza la información del grupo en su cuenta de TDR.

Para sincronizar un grupo de Active Directory:

  1. En la página Grupos, junto a un grupo de Active Directory, haga clic en .
  2. Seleccione Sincronizar Grupo.
    Aparece un mensaje de confirmación sobre si desea sincronizar el grupo.
  3. Haga clic en Sí, Sincronizar.

Debe sincronizar un grupo de Active Directory antes de poder expandirlo en la página de grupos o cambiar la membresía del Grupo de Hosts para los miembros del grupo de Active Directory.

Agregar un Grupo

Desde la página Grupos, puede agregar un Grupo de Hosts o un grupo de Subredes IP.

También puede usar la acción Cambiar Grupo de Hosts para agregar un Grupo de Hosts para los hosts seleccionados. Para más información, consulte Administrar Hosts y Host Sensors de TDR.

Cuando agrega un grupo de Hosts, usted especifica los hosts en el grupo por nombre. Antes de que pueda agregar hosts al grupo, debe conocer los nombres de los hosts. Debido a que puede configurar diferentes ajustes de Host Sensor para cada grupo, un host no puede ser miembro de más de un grupo de Hosts.

  1. En la página Grupos, haga clic en Agregar Grupo.
    Se abre el cuadro de diálogo Agregar Grupo.

Screen shot of the Add Group dialog box

  1. En el cuadro de texto Nombre de Grupo, ingrese un nombre para este grupo.
  2. De la lista desplegable Tipo, seleccione Host. Esta es la opción predeterminada.
  3. Haga clic en Agregar Hosts al Grupo.
    Se abre el cuadro de diálogo Agregar Hosts al Grupo.

Screen shot of the Add Hosts to Group dialog box.

  1. Marque las casillas de selección junto a los nombres de hosts para agregarlos.
  2. Haga clic en Agregar los Hosts Seleccionados.
    Los hosts se agregan al cuadro de diálogo Agregar Grupo.
  3. Para eliminar un host, marque la casilla de selección junto al nombre del host y haga clic en Eliminar los Hosts Seleccionados.
  4. Haga clic en Guardar y Cerrar.

Puede administrar los Host Sensors solo desde los Grupos de Host.

  1. En la página Grupos, haga clic en Agregar Grupo.
    Se abre el cuadro de diálogo Agregar Grupo.

Screen shot of the Add Group dialog box for an IP Subnet group

  1. En el cuadro de texto Nombre de Grupo, ingrese un nombre para este grupo.
  2. En la lista desplegable Tipo, seleccione Subred IP.
  3. En el cuadro de texto Dirección de Red, escriba la dirección IP de un host o de una red.
  4. En el cuadro de texto Subnet Mask, escriba la subnet mask para la dirección IP.
  5. Haga clic en Guardar y Cerrar.

Editar o Eliminar un Grupo

Para editar o eliminar una Subred IP o un grupo de Hosts, debe iniciar sesión en TDR como Analyst.

Para editar un grupo:

  1. En la lista Grupos, junto al grupo que desea editar, haga clic en .
  2. Seleccione Editar Grupo.
    Se abre el cuadro de diálogo Editar Grupo.
  3. Edite la información del grupo como se describe en el procedimiento anterior.
  4. Haga clic en Guardar y Cerrar.

Para eliminar un grupo:

  1. En la lista Grupos, junto al grupo que desea eliminar, haga clic en .
  2. Seleccione Eliminar Grupo.
    Aparece un mensaje de confirmación.
  3. Haga clic en Sí, Eliminar.

Cuando elimina un grupo, el grupo se elimina automáticamente de todas las políticas que lo incluyeron.

Administrar Hosts en un Grupo

En la página Grupos, puede ver información sobre los hosts en un grupo y administrar los Host Sensors y sus ajustes para el grupo. Puede expandir cualquier grupo que incluya al menos un host.

Para administrar Hosts en un grupo, junto a ese grupo, haga clic en .

La información del grupo se muestra en dos pestañas:

  • Hosts — Muestra los hosts en el grupo e incluye la red, el sistema operativo y el estado del Host Sensor para cada host
  • Configuración del Host Sensor — Configuración del Host Sensor para los hosts del grupo; puede configurar los ajustes del Host Sensor para el grupo que tienen prioridad sobre los ajustes globales del Host Sensor especificados por el Administrator

En la pestaña Hosts, puede ver información sobre los hosts en este grupo, agregar hosts a los grupos y administrar Hosts Sensors y la membresía de grupos.

Puede completar estas acciones para los hosts:

  • Cambiar Grupo de Hosts — Cambiar el Grupo de Hosts del que es miembro el host
  • Instalar Sensor — Usar AD Helper para instalar un Host Sensor en un host de Windows
  • Reiniciar Sensor — Reiniciar un Host Sensor en un host
  • Eliminar Sensor — Desinstalar un Host Sensor de un host
  • Reconocer como Eliminado Manualmente — Confirmar que un Host Sensor se ha desinstalado manualmente de un host
  • Actualizar Host — Actualizar un Host Sensor a la versión más reciente de TDR
  • Contener Host — Contener el host para que no pueda comunicarse a través de la red
  • Liberar Host — Liberar el host de la contención
  • Pausar Protección del Host — Pausar TDR temporalmente en un host
  • Solicitar Valor de Referencia — Realizar un nuevo escaneo de referencia después de realizar cambios en un host

Para agregar hosts al grupo:

  1. Haga clic en Acciones > Agregar Hosts.

    Se abre el cuadro de diálogo Agregar Hosts al Grupo.

Screen shot of the Add Hosts to Group dialog box.

  1. Marque las casillas de selección junto a los nombres de hosts para agregarlos.
  2. Haga clic en Agregar los Hosts Seleccionados.
    Los hosts se agregan al grupo.

Para instalar o eliminar Host Sensors para uno o más hosts de un grupo:

  1. En la página Grupos, junto al grupo que desea administrar, haga clic en .
    Se abre el cuadro de diálogo de información del host para ese grupo.

Screen shot of the Groups page with the Hosts information expanded for a group

  1. En la pestaña Hosts, marque la casilla de selección junto a uno o más hosts.
  2. De la lista desplegable Acciones, seleccione una opción.
    La lista desplegable muestra el número de hosts seleccionados a los que se aplica cada acción disponible.
    Se abre el cuadro de diálogo Confirmar Acción con la lista de hosts a los que se aplica la acción.

Screen shot of the Confirm Action dialog box

  1. Para confirmar la acción, haga clic en Ejecutar Acción.

Para eliminar un Host Sensor de un único host, en la columna Estado de Instalación, haga clic en .

Para obtener información sobre cómo desinstalar manualmente un Host Sensor de un host, consulte Desinstalar Host Sensors de TDR.

Cuando la Actualización Automática del Host Sensor está habilitada en la página de Ajustes Generales, los Host Sensors se actualizan automáticamente cuando hay una nueva versión de TDR disponible. Para más información, consulte Ajustes Generales de TDR.

Puede elegir actualizar Host Sensors específicos manualmente cuando hay una nueva versión disponible. Un icono aparece en la columna Estado de Instalación si un Host Sensor se puede actualizar manualmente.

Para actualizar un host específico:

En la columna Estado de Instalación, junto al estado de instalación del Host Sensor, haga clic en .

El Host Sensor se actualiza a la nueva versión.

Para actualizar varios hosts:

  1. Marque la casilla de selección junto a uno o más hosts en la lista.
  2. Haga clic en Acciones > Actualizar.
    El Host Sensor se actualiza a la nueva versión.

Los hosts contenidos no pueden comunicarse a través de la red.

Para contener hosts, la Acción Habilitar la Contención del Host del Núcleo debe estar habilitada en los ajustes del Host Sensor. Para más información, consulte Configurar los Ajustes del Host Sensor de TDR.

Para contener un host:

  1. Marque la casilla de selección junto al host que desea contener.
  2. Seleccione Acciones > Contener Host.

    Se abre el cuadro de diálogo Confirmar Acción – Contener el Host.
  3. Haga clic en Ejecutar Acción

    El host está contenido y se muestra un icono de contención en la columna Estado del Sensor.

Screen shot of containment icon

Para liberar un host de la contención:

  1. Marque la casilla de selección junto al host que desea liberar.
  2. Seleccione Acciones > Liberar Host.
    Se abre el cuadro de diálogo Confirmar Acción – Liberar el Host.
  3. Haga clic en Ejecutar Acción
    El host se libera de la contención.

En la lista de hosts dentro de un grupo, puede cambiar el Grupo de Hosts del que es miembro. Esto elimina el host del grupo actual y lo agrega a otro grupo. También puede eliminar un Host de todos los grupos.

Para cambiar el Grupo de Hosts para uno o más Hosts:

  1. Seleccione Dispositivos/Usuarios > Hosts.
  2. Marque la casilla de selección junto a uno o más hosts en la lista.
  3. Seleccione Acciones > Cambiar Grupo de Host.
    Se abre el cuadro de diálogo Cambiar Grupo de Host.

  1. Empiece a escribir el nombre del grupo. Éste puede ser un grupo existente o un grupo nuevo.
    Mientras escribe. los nombres de los grupos existentes y la opción de agregar un grupo nuevo aparecen debajo del cuadro de texto.
  2. Seleccione el grupo o seleccione la opción para agregar el grupo nuevo con el nombre que escribió.
    Los hosts seleccionados se agregan al grupo que seleccionó. Si seleccionó la opción para agregar un grupo nuevo, se agregará el Grupo de Hosts.

Para eliminar uno o más Host Sensors de un grupo de Hosts.

  1. Marque la casilla de selección junto a uno o más hosts en la lista.
  2. Seleccione Acciones > Cambiar Grupo de Host.
    Se abre el cuadro de diálogo Cambiar Grupo de Host.
  3. Seleccione Ningún Grupo.
    Cada host seleccionado se elimina del Grupo de Hosts del que anteriormente era miembro.

En la configuración de grupo, puede especificar la configuración del Host Sensor que se aplica solo al grupo. La configuración que especifique para un grupo tendrá prioridad sobre la configuración global del Host Sensor configurada por el Administrator.

La configuración del Host Sensor incluye estos ajustes:

  • Ajustes del Host Sensor — Especifica las acciones permitidas del Host Sensor.
  • Ajustes de Prevención de Manipulación de Host Sensor — Especifica si los usuarios pueden modificar o desinstalar el servicio de Threat Detection and Response.
  • Ajustes de Configuración del Controlador del Host Sensor — Habilita y deshabilita ajustes del controlador de Host Sensor. Recomendamos que mantenga los ajustes predeterminados, a menos que haya probado primero cualquier cambio con los ajustes de anulación de la Configuración de Host Sensor específica del grupo.
  • Ajustes del Icono del Host Sensor — Habilita y deshabilita ajustes para el icono de bandeja del sistema del Host Sensor.

Para obtener más información sobre los ajustes recomendados para el Host Sensor, consulte Mejores Prácticas de Implementación de TDR.

Para obtener más información sobre cada ajuste, haga clic en .

Para la mayoría de los ajustes de Host Sensor, un control deslizante muestra si la configuración está habilitada o deshabilitada.

— La función está habilitada

— La función está deshabilitada

Para cambiar cada ajuste, haga clic en el control deslizante. Los cambios toman efecto inmediatamente.

No necesita hacer clic en Guardar para guardar los cambios en los ajustes que se habilitan y deshabilitan con un control deslizante. Haga clic en Guardar si realizó cambios en otros tipos de ajustes, como en el cuadro de texto Demora Máxima de Valores de Referencia en Minutos.

Para especificar la configuración del Host Sensor para un grupo:

  1. En la página Grupos, junto al grupo que desea administrar, haga clic en .
    Se abre el cuadro de diálogo de información del host para ese grupo.
  2. Seleccione la pestaña Configuración de Host Sensor.

Screen shot of the Host Sensor Configuration tab

  1. Para habilitar la configuración de Host Sensor para este grupo, haga clic en el botón Anular los ajustes de Host Sensor para este grupo.
  2. Configure los ajustes de Host Sensor para este grupo.
    Para más información sobre estas configuraciones, consulte Configurar los Ajustes del Host Sensor de TDR.
  3. Haga clic en Guardar.

Ver También

Administrar Hosts y Host Sensors de TDR

Acerca de Host Ransomware Prevention de TDR