Configurar las Anulaciones de Firmas de TDR

Puede especificar anulaciones de firma en su configuración de TDR para archivos y procesos específicos. Para especificar una anulación, puede agregar los valores MD5 de archivos o procesos para que TDR considere el archivo como seguro o malicioso. Para cada anulación de firma que especifique, puede seleccionar si desea agregarla a la Lista de Permitidos. Hay dos tipos de anulaciones de firma:

Lista de Permitidos

Una anulación de la lista de permitidos identifica un archivo o proceso que considera seguro y no quiere que TDR lo escanee o mitigue (por ejemplo, realizar las acciones detener o poner en cuarentena). A los indicadores existentes para los archivos agregados a la lista de permitidos se les asigna una puntuación de 0. TDR no crea indicadores nuevos para los archivos que coincidan con el valor MD5 en una anulación de la lista de permitidos.

Para agregar una anulación de firma de lista de permitidos, en la configuración de anulación de firma, marque la casilla de selección Lista de Permitidos.

Lista de Amenazas

Una anulación de lista de amenazas identifica un archivo o proceso que usted desea que TDR siempre considere una amenaza. Una anulación de firma se aplica solo después de agregarla, y no afecta la puntuación de ese MD5 si se ha detectado en el pasado. A los indicadores de los archivos en la lista de amenazas se les asigna una puntuación de amenaza de 8 si el Host Sensor no toma acciones para mitigar la amenaza.

Para agregar una anulación de firma de amenaza, en la configuración de anulación de firma, asegúrese de que la casilla de selección Lista de Permitidos no esté seleccionada.

Para agregar un archivo que se identificó en un indicador previo a la lista de anulación, copie el valor MD5 del archivo desde la página Indicadores.

Para ver el valor de MD5 para un indicador:

  1. En la columna Indicador, busque el indicador correspondiente.
  2. Haga clic en Información Adicional.

Para buscar el valor MD5 de cualquier archivo, también puede usar una utilidad de cálculo de hash de archivos MD5.

Si ejecuta una acción para eliminar un archivo de cuarentena, el sistema agrega automáticamente a la Lista de Permitidos el valor MD5 de ese archivo.

Buscar MD5 en la Lista de Amenazas y la Lista de Permitidos

En la página Anulaciones de Firma, puede buscar un MD5 para ver si está en la Lista de Amenazas o la Lista de Permitidos.

Para buscar un MD5:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección ThreatSync, seleccione Anulaciones de Firma.
    Aparece la lista de anulaciones de firmas configurada actualmente.
  4. Haga clic en Buscar.
    Se abre el cuadro de diálogo Buscar MD5 en la Lista de Amenazas y la Lista de Permitidos.

Screen shot of the MD5 in Threatlist and Allowlist dialog box

  1. Pegue el MD5 en el cuadro de texto y haga clic en Buscar.
    Aparece la información MD5.

Agregar una Anulación de Firma

Para agregar una anulación de firma, debe iniciar sesión como Analyst.

Para agregar una anulación de firma

  1. Seleccione Configurar > Detección de Amenazas.
  2. En la sección ThreatSync, seleccione Anulaciones de Firma.
    Aparece la lista de anulaciones de firmas configurada actualmente.

Screen shot of the Signature Overrides page

  1. Haga clic en + Agregar Anulación de Firma.
    Se abre el cuadro de diálogo Agregar Anulaciones de Firma.

Screen shot of the Add Signature Override dialog box

  1. En el cuadro de texto MD5, pegue el MD5 del archivo.
  2. (Opcional) En el cuadro de texto Comentarios, escriba una descripción de esta anulación.
  3. Seleccione los hosts y grupos a los que se aplica la anulación.
    1. En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!
      Aparecen los nombres de host y nombres de grupos que incluyen los caracteres.
    2. Seleccione el nombre de host o nombre de grupo que desea agregar.
    3. Para agregar otros hosts o grupos, repita los dos pasos anteriores.
  4. Si esta anulación es para un archivo que considera seguro y no desea que TDR escanee, marque la casilla de selección Lista de Permitidos.
  5. Haga clic en Guardar.
    La anulación de firma se agrega a la lista.

Hacer una Copia de Seguridad o Importar Anulaciones de Firmas

Puede guardar una copia de seguridad de todas las anulaciones de firmas en un archivo .XML. Para agregar las anulaciones de firmas a cualquier cuenta de TDR, puede importar el archivo .XML guardado. Esto permite que un Service Provider de TDR copie fácilmente las anulaciones de firmas configuradas en una cuenta de cliente administrada a otra cuenta administrada. Para evitar anulaciones duplicadas, las anulaciones de firmas importadas se combinan con la lista existente de anulaciones de firmas.

Para guardar las anulaciones de firmas en un archivo de copia de seguridad en WatchGuard Cloud:

  1. Seleccione Configurar > Detección de Amenazas.
  2. En la sección ThreatSync, seleccione Anulaciones de Firma.
    Aparece la lista de anulaciones de firmas configurada actualmente.
  3. Haga clic en Copia de Seguridad.
    El archivo de copia de seguridad .XML se guarda en la carpeta de descargas.

El nombre del archivo de copia de seguridad de las anulaciones de firmas incluye la fecha y hora actuales. Por ejemplo:

WatchGuardTDR_SignatureOverrides_2016-12-13_22-39-43.xml

Para importar anulaciones de firmas desde un archivo .XML guardado de anulaciones de firmas:

  1. Haga clic en Importar.
  2. Seleccione y abra el archivo de copia de seguridad guardado.
    Se abre un cuadro de diálogo de confirmación.
  3. Haga clic en Importar.
    Las anulaciones de firmas del archivo se agregan a la lista Anulaciones de Firmas.

Editar o Eliminar una Anulación de Firma

Para editar una anulación de firma:

  1. En el lado izquierdo de la columna, haga clic en la flecha.
    Se abre el cuadro de diálogo Editar Anulaciones de Firma.

Screen shot of the Edit Signature Override dialog box

  1. Edite la configuración.
  2. Haga clic en Guardar y Cerrar.
    El cambio se guarda y la configuración para Editar se contrae.

Para eliminar una anulación de firma:

  1. En la fila de la anulación de firma que desea eliminar, haga clic en .
  2. Haga clic en Eliminar Anulación de Firma.
  3. Haga clic en Sí, Eliminar.