Configurar las Políticas de TDR

Las políticas de TDR definen las acciones que un Host Sensor puede tomar automáticamente cuando detecta una amenaza. Su cuenta de TDR incluye políticas predeterminadas con la configuración recomendada. Puede editar las políticas predeterminadas y configurar políticas de TDR adicionales que se apliquen a diferentes hosts y grupos de hosts en diferentes niveles de Cybercon.

Para obtener información sobre las políticas predeterminadas y las recomendaciones de políticas, consulte Políticas de TDR Recomendadas.

Las políticas de TDR se clasifican para mostrar su prioridad relativa. TDR evalúa las políticas en orden de rango. Se puede aplicar más de una política de TDR al mismo host al mismo tiempo. Todas las políticas activas para el objetivo se evalúan en orden de rango para determinar qué acciones puede realizar un Host Sensor. Si dos o más políticas activas podrían permitir o prevenir una acción para el mismo host objetivo, la política de mayor rango (número más bajo) tiene prioridad.

Como parte de sus procedimientos de seguridad de red, usted define los niveles de Cybercon para que tengan un significado específico para su organización. Después de definir el significado de los niveles de Cybercon, puede configurar las políticas de TDR para cada nivel. Para más información, consulte Acerca de los Niveles de Cybercon de TDR.

Tipos de Políticas de TDR

En TDR, puede configurar tres tipos de políticas:

Política de Remediación

Una política de Remediación define las acciones que los Host Sensors pueden tomar automáticamente en respuesta a las amenazas detectadas en un host.

Política de APT Blocker

Una política de APT Blocker define cuándo los Host Sensors pueden cargar automáticamente archivos sospechosos para su análisis en un entorno seguro de caja de arena. Para más información, consulte Análisis de Caja de Arena de TDR por APT Blocker.

Antes de que pueda agregar una política de APT Blocker, debe habilitar la función APT Blocker en la página Ajustes Generales. Para más información, consulte Ajustes Generales de TDR.

Política de Contención

Una Política de Contención define cuándo los hosts Windows serán contenidos y liberados de la contención automáticamente con base en un umbral de puntuación de amenaza de incidente. La contención cierra las conexiones de red en un host para que las amenazas no puedan propagarse a través de la red. Para más información, consulte Configurar la Contención de TDR.

Acerca de las Políticas Activas de TDR

Las políticas activas en su cuenta de TDR dependen del nivel de Cybercon, del Umbral de Cybercon y del rango configurado en sus políticas de TDR. Si las políticas activas cambian, ya sea debido a un cambio en el nivel de Cybercon o un cambio en la configuración de las políticas, las políticas activas se aplican inmediatamente a los nuevos indicadores que cumplen con los criterios de las políticas. Después de un cambio en las políticas o el nivel de Cybercon, TDR también revalúa los indicadores existentes que tienen uno de estos resultados anteriores:

  • Sin Política — No hubo una política activa para realizar la acción de remediación solicitada
  • Bloqueado por Política — Una política de remediación bloqueó la acción de remediación solicitada

Dado que puede realizar varios cambios en las políticas de TDR en un corto periodo de tiempo, TDR espera cinco minutos después del último cambio en la política o en el nivel de Cybercon antes de revaluar los indicadores existentes.

Las políticas de APT Blocker solo pueden aplicarse a indicadores nuevos. TDR no reevalúa los indicadores existentes cuando el nivel Cybercon o las políticas activas de APT Blocker cambian.

Reglas, Acciones y Objetivos de las Políticas

Para cada política de TDR, usted configura Reglas, Acciones y Objetivos.

Reglas

Las Reglas definen cuándo los Host Sensors ejecutan la política de TDR. Para una política de Remediación o una política de Contención, usted configura dos umbrales que controlan cuándo los Host Sensors ejecutan las acciones en la política:

  • Umbral Cybercon — El nivel máximo de Cybercon requerido para ejecutar la política.
  • Umbral de Puntuación de Amenaza — La Puntuación de Amenaza máxima de un indicador o incidente detectada en un host al que se le exige ejecutar la política. Para una política de Remediación, si se cumple la regla de umbral CYBERCON, la política se aplica a los nuevos indicadores en los hosts objetivo cuando la puntuación del indicador es igual o mayor que el umbral habilitado en la política. Para una política de Contención, si se cumple la regla de umbral CYBERCON, la política se aplica a los nuevos incidentes en los hosts objetivo cuando la puntuación del incidente es igual o mayor que el umbral habilitado en la política.

Para una política de APT Blocker, usted configura solo un Umbral de Cybercon.

Acciones

Las Acciones definen qué hace el Host Sensor cuando se ejecuta la política.

Las acciones de política se aplican solo a los nuevos indicadores que coinciden con las reglas de la política. Las políticas no se aplican a los indicadores que existían antes de que la política estuviera activa.

Para cada política, usted define si la política permite o niega acciones.

  • Realizar — La política permite que el Host Sensor realice las acciones especificadas para nuevos indicadores que coincidan con las reglas de la política.
  • No Realizar — La política no permite que el Host Sensor realice las acciones especificadas si están permitidas por una política de rango inferior que se aplica al mismo host objetivo. Una política con la acción No Realizar no evita que un operador ejecute manualmente una acción.

Para una política de Remediación, seleccione una o más de estas acciones:

  • Detener el Proceso — Se aplica a Procesos o indicadores de Host Ransomware Prevention. Una vez que el Host Sensor identifica el puerto de comunicación, el Host Sensor finaliza el proceso que admite la comunicación al puerto de la red.
  • Poner Archivo en Cuarentena — XOR cifra el contenido de un archivo identificado en un indicador para que el archivo no sea ejecutable.
  • Eliminar el Valor del Registro — Elimina el valor del registro que hace referencia a un archivo malicioso.

La acción Detener el Proceso por sí sola no remedia una amenaza. Para remediar automáticamente las amenazas, recomendamos que permita todas las acciones. Para más información, consulte Acciones de Remediación y Puntuaciones de Amenaza de TDR.

Para una política de APT Blocker, solo hay una acción:

  • Poner Archivo en la Caja de Arena — Envía archivos sospechosos a la caja de arena para el análisis por parte de APT Blocker

Para una política de Contención, hay dos acciones:

  • Contener Host — Apaga las conexiones de red en los hosts.
  • Liberar Host — Libera al host automáticamente después de que TDR remedia la amenaza.

Para contener hosts, la Acción Habilitar la Contención del Host del Núcleo debe estar habilitada en los ajustes del Host Sensor. Para más información, consulte Configurar los Ajustes del Host Sensor de TDR.

Objetivos

Objetivos define a qué hosts se aplica la acción. En cada política, puede agregar hosts individuales o grupos de hosts como objetivos. Una política sin un objetivo no afecta a ningún host. Si desea que una política se aplique a todos los hosts que tienen instalado un Host Sensor, puede usar el grupo integrado Todos los Hosts.

Para obtener información sobre los grupos, consulte Administrar los Grupos de TDR.

Ver y Administrar Políticas

Para administrar políticas:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección ThreatSync, seleccione Política.
    Se abre la página Política.

Screen shot of the Policy page

  1. Para buscar políticas específicas, en las listas desplegables de filtro y en los cuadros de texto de búsqueda especifique los detalles de la política.

Administrar Filtros

Puede filtrar la información que se muestra en la página en la parte superior de cada columna. Puede guardar una configuración de filtro para que la página muestre automáticamente la información especificada cada vez que la abra.

  1. Seleccione los ajustes de la columna que desea guardar.
  2. En el encabezado de la columna del extremo izquierdo, haga clic en .
  3. Seleccione Guardar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Aplicar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Despejar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Eliminar.

Cómo agregar una política

Puede agregar una combinación de políticas para realizar acciones automáticamente contra amenazas en su red. Para obtener información sobre las políticas recomendadas, consulte Políticas de TDR Recomendadas.

  1. En la página Política, haga clic en +Agregar Política.
    Se abre la configuración Seleccionar el Tipo de Política.
  2. Seleccione Política de Remediación.
    Se abre la configuración de una política de Remediación.

Screen shot of the Add Policy dialog box for a Remediation policy

  1. En el cuadro de texto Nombre, escriba un nombre para esta política.
  2. (Opcional) En el cuadro de texto Comentarios, escriba otra información sobre la política.
  3. En la lista desplegable Seleccionar un Umbral Cybercon, seleccione el nivel de Cybercon al cual desea que se ejecute esta política.
    La política se ejecuta solo cuando el nivel de Cybercon es igual o inferior al valor que usted seleccione aquí.
  4. En la lista desplegable Seleccionar un Umbral de Puntuación de Amenaza, seleccione la puntuación de amenaza del indicador en la que desea que se ejecute esta política.
    La política se ejecuta para un indicador con una Puntuación de Amenaza igual o superior al valor que usted seleccione aquí.
  5. Seleccione objetivos para esta política.
    1. En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!
      Aparecen los nombres de host y nombres de grupos que incluyen los caracteres.
    2. Seleccione el nombre de host o nombre de grupo que desea agregar.
    3. Para agregar otros objetivos para esta política, repita los dos pasos anteriores.
  6. Seleccione una opción para especificar si desea permitir que los Host Sensors ejecuten las acciones que especifique:
    • Realizar — Permite a los Host Sensors realizar las acciones especificadas.
    • No Realizar — No permite que los Host Sensors realicen las acciones especificadas.
  7. Marque la casilla de selección para cada acción que desee que esta política controle para los hosts objetivo.
    Para obtener más información sobre estas acciones, consulte Acciones.
  8. Haga clic en Guardar y Cerrar.
  1. En la página Política, haga clic en +Agregar Política.
    Se abre la configuración Seleccionar el Tipo de Política.
  2. Seleccione Política de APT Blocker.
    Se abre la configuración de una política de APT Blocker.

  1. En el cuadro de texto Nombre, escriba un nombre para esta política.
  2. (Opcional) En el cuadro de texto Comentarios, escriba otra información sobre la política.
  3. En la lista desplegable Seleccionar un Umbral Cybercon, seleccione el nivel de Cybercon al cual desea que se ejecute esta política.
    La política se ejecuta solo cuando el nivel de Cybercon es igual o inferior al valor que usted seleccione aquí.
  4. Seleccionar objetivos para esta política
    1. En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!

      Aparecen los nombres de host y nombres de grupos que incluyen los caracteres.
    2. Seleccione el nombre de host o nombre de grupo que desea agregar.
    3. Para agregar otros objetivos para esta política, repita los dos pasos anteriores.
  5. Seleccione una opción para especificar si los Host Sensors pueden ejecutar la acción de Poner Archivo en la Caja de Arena:
    • Realizar — Permite a los Host Sensors realizar la acción de Poner Archivo en la Caja de Arena.
    • No Realizar — No permite a los Host Sensors realizar la acción de Poner Archivo en la Caja de Arena.
  6. Haga clic en Guardar y Cerrar.
  1. En la página Política, haga clic en +Agregar Política.
    Se abre la configuración Seleccionar el Tipo de Política.
  2. Seleccione Política de Contención.
    Se abre la configuración de una política de Contención.

Screen shot of the Add Policy dialog box for a Containment policy

  1. En el cuadro de texto Nombre, escriba un nombre para esta política.
  2. (Opcional) En el cuadro de texto Comentarios, escriba otra información sobre la política.
  3. En la lista desplegable Seleccionar un Umbral Cybercon, seleccione el nivel de Cybercon al cual desea que se ejecute esta política.
    La política se ejecuta solo cuando el nivel de Cybercon es igual o inferior al valor que usted seleccione aquí.
  4. En la lista desplegable Seleccionar un Umbral de Puntuación de Amenaza, seleccione la puntuación de amenaza de incidentes en la que desea que se ejecute esta política.
    La política se ejecuta para un incidente con una Puntuación de Amenaza igual o superior al valor que usted seleccione aquí.
  5. Seleccione objetivos para esta política.
    1. En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!
      Aparecen los nombres de host y nombres de grupos que incluyen los caracteres.
    2. Seleccione el nombre de host o nombre de grupo que desea agregar.
    3. Para agregar otros objetivos para esta política, repita los dos pasos anteriores.
  6. Seleccione una opción para especificar si desea permitir que los Host Sensors ejecuten la acción de Contener el Host:
    • Realizar — Permite a los Host Sensors realizar la acción de Contener el Host.
    • No Realizar — No permite a los Host Sensors realizar la acción de Contener el Host.
  7. Haga clic en Guardar y Cerrar.

Cambiar Rango de Políticas

La página Política incluye todas las políticas actualmente definidas en orden de precedencia, numeradas del rango más alto (1) al rango más bajo. Cuando agrega una nueva política, esta se agrega automáticamente a la parte superior de la lista Política, en el rango más alto. Las políticas no cambian de rango automáticamente según el objetivo de la política. Usted debe cambiar manualmente el rango de cada política.

Por ejemplo, si configura una política para que no realice una acción para un único host, y luego agrega una nueva política para realizar acciones para un grupo en el que el host es un miembro, la política más reciente que agregó (la nueva política para el grupo) tiene el rango más alto y tiene prioridad. Si desea que la política del host único tenga prioridad, debe cambiar manualmente el rango de esa política a una posición más alta en la lista que la política del grupo en el que el host es un miembro.

Para cambiar el rango de una política, puede:

  • En la columna Rango, para aumentar o disminuir el rango de una política, junto a esa política, haga clic en o .
  • En la columna Rango, cambie el número en el cuadro de texto.
  • Arrastre y suelte una política a una posición diferente en la lista.

Cuando cambia el rango de una política, los números asignados a todas las otras políticas en la lista se actualizan automáticamente para mostrar su nuevo rango.

Si la función de APT Blocker está deshabilitada en la página de Ajustes Generales, todas las políticas de APT Blocker están ocultas y los números asignados a esas políticas se omiten en la columna Clasificación.

Rango de Política y Precedencia de Acción

Más de una política activa de TDR se puede aplicar al mismo host objetivo al mismo tiempo. Esto es diferente de como funciona la precedencia de la política en Fireware. Si se aplican varias políticas activas de TDR al mismo host objetivo, la acción en la política de mayor rango se aplica a cada acción. Por ejemplo, si la política de mayor rango para un objetivo especifica que los Host Sensors no pueden realizar la acción Eliminar Valor de Registro, y una política de menor rango para el mismo objetivo permite que los Host Sensors realicen las acciones de Detener Proceso, Poner Archivo en Cuarentena y Eliminar Valor de Registro, el Host Sensor realiza solo las acciones de Detener Proceso y Poner Archivo en Cuarentena porque la acción que especifica que el Host Sensor no debe realizar la acción Eliminar Valor de Registro tiene mayor precedencia.

Hacer Copia de Seguridad o Importar Políticas

Puede guardar una copia de seguridad de todas las políticas en un archivo .XML. Para agregar las políticas a cualquier cuenta de TDR, puede importar el archivo .XML guardado. Esto permite que un Service Provider de TDR copie fácilmente las políticas configuradas en una cuenta de cliente administrada a otra cuenta administrada. Para evitar políticas duplicadas, las políticas importadas se combinan con la lista actual de políticas.

Si el nombre de una política en un archivo de copia de seguridad importado coincide con el nombre de una política existente, la política importada reemplaza a la política existente.

Para guardar las políticas en un archivo de copia de seguridad:

  1. Seleccione Configurar > Detección de Amenazas.
  2. En la sección ThreatSync, seleccione Política.
    Se abre la página Política.
  3. Haga clic en Copia de Seguridad.
    El archivo de copia de seguridad .XML se guarda en la carpeta de descargas.

El nombre del archivo de copia de seguridad de la política incluye la fecha y hora actuales. Por ejemplo:

WatchGuardTDR_Policies_2017-01-25_22-39-43.xml

Para importar políticas desde un archivo .XML de políticas guardado:

  1. Haga clic en Importar.
  2. Seleccione y abra el archivo de copia de seguridad guardado.
    Se abre un cuadro de diálogo de confirmación.
  3. Haga clic en Importar.
    Las políticas del archivo se agregan a la lista Políticas.

Editar, Duplicar o Eliminar una Política

Para editar una política, en la página Política:

  1. Para expandir los detalles de una política, haga clic en .
  2. Edite la configuración tal como se describe en la sección anterior.
  3. Haga clic en Guardar y Cerrar.

Para duplicar una política, en la página Política:

  1. Junto a la política que desea duplicar, haga clic en .
  2. Seleccione Duplicar Política.

Para eliminar una política, en la página Política:

  1. Junto a la política que desea eliminar, haga clic en .
  2. Seleccione Eliminar Política.

Ver También

Políticas de TDR Recomendadas

Análisis de Caja de Arena de TDR por APT Blocker