Administrar Hosts y Host Sensors de TDR
En Threat Detection and Response, la página Dispositivos/Usuarios > Hosts incluye una lista de todos los hosts para su cuenta, así como el estado del Host Sensor para cada host. Solo los Administrators y Analysts pueden eliminar o instalar un Host Sensor en un host.
Los hosts se agregan a su cuenta de Threat Detection and Response a través de AD Helper o a través de la instalación manual del Host Sensor.
AD Helper
Puede usar AD Helper para obtener automáticamente la lista de hosts de Windows en un dominio de Active Directory en su red e instalar o eliminar automáticamente los Host Sensors de Windows. Para más obtener información sobre cómo configurar AD Helper, consulte Instalar y Configurar AD Helper.
Instalación Manual del Host Sensor
Puede descargar un Host Sensor e instalarlo manualmente en un host. La primera vez que el Host Sensor envía un latido a su cuenta de Threat Detection and Response, el host se agrega a la lista de hosts para su cuenta TDR, que puede ver en la lista de Dispositivos/Usuarios > Hosts en WatchGuard Cloud.
Para más información, consulte Instalación Manual de Host Sensor de TDR.
También puede desinstalar Host Sensors desde la página Hosts de TDR. Para más información, consulte Desinstalar Host Sensors de TDR.
Administrar Host Sensors
En la página Dispositivos/Usuarios > Hosts, los Administrators y Analysts pueden realizar estas acciones:
- Descargar Instaladores de Host Sensor
- Instalar o desinstalar Host Sensor en Windows y Mac
- Cambiar el Grupo de Hosts para un Host Sensor
- Editar o eliminar un host
- Exportar la lista de hosts a un archivo
Para ver la página Hosts en WatchGuard Cloud:
- Iniciar Sesión en TDR.
- Seleccione Monitorizar > Detección de Amenazas.
- Seleccione Dispositivos/Usuarios > Hosts.
Se abre la página Hosts.
Administrar Filtros
Puede filtrar la información que se muestra en la página en la parte superior de cada columna. Puede guardar una configuración de filtro para que la página muestre automáticamente la información especificada cada vez que la abra.
- Seleccione los ajustes de la columna que desea guardar.
- En el encabezado de la columna del extremo izquierdo, haga clic en .
- Seleccione Guardar.
- En el encabezado de la columna del extremo izquierdo, haga clic en .
- Seleccione Aplicar.
- En el encabezado de la columna del extremo izquierdo, haga clic en .
- Seleccione Despejar.
- En el encabezado de la columna del extremo izquierdo, haga clic en .
- Seleccione Eliminar.
Acciones de Administración de Hosts
Puede completar estas acciones para los hosts:
- Cambiar Grupo de Hosts — Cambiar el Grupo de Hosts del que es miembro el host
- Instalar Sensor — Usar AD Helper para instalar un Host Sensor en un host de Windows
- Reiniciar Sensor — Reiniciar un Host Sensor en un host
- Eliminar Sensor — Desinstalar un Host Sensor de un host
- Reconocer como Eliminado Manualmente — Confirmar que un Host Sensor se ha desinstalado manualmente de un host
- Actualizar Host — Actualizar un Host Sensor a la versión más reciente de TDR
- Contener Host — Contener el host para que no pueda comunicarse a través de la red
- Liberar Host — Liberar el host de la contención
- Pausar Protección del Host — Pausar TDR temporalmente en un host
- Solicitar Valor de Referencia — Realizar un nuevo escaneo de referencia después de realizar cambios en un host
Cambiar el Grupo de Hosts
Un host puede ser miembro de un solo Grupo de Hosts.
Para cambiar el Grupo de Hosts para uno o más Hosts:
- Seleccione Dispositivos/Usuarios > Hosts.
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Cambiar Grupo de Host.
Se abre el cuadro de diálogo Cambiar Grupo de Host.
- Empiece a escribir el nombre del grupo. Éste puede ser un grupo existente o un grupo nuevo.
Mientras escribe. los nombres de los grupos existentes y la opción de agregar un grupo nuevo aparecen debajo del cuadro de texto. - Seleccione el grupo o seleccione la opción para agregar el grupo nuevo con el nombre que escribió.
Los hosts seleccionados se agregan al grupo que seleccionó. Si seleccionó la opción para agregar un grupo nuevo, se agregará el Grupo de Hosts.
Para eliminar uno o más Host Sensors de un grupo de Hosts.
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Cambiar Grupo de Host.
Se abre el cuadro de diálogo Cambiar Grupo de Host. - Seleccione Ningún Grupo.
Cada host seleccionado se elimina del Grupo de Hosts del que anteriormente era miembro.
Instalar o Eliminar un Host Sensor
El instalador de Windows Host Sensor genera un archivo de registro de instalación cuando instala o desinstala el Host Sensor. El registro del instalador se guarda en la carpeta de instalación del Host Sensor. La carpeta predeterminada es C:\Program Files (x86)\WatchGuard\Threat Detection and Response.
Para instalar o eliminar un Host Sensor para uno o más hosts:
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones.
La lista desplegable muestra el número de hosts seleccionados a los que se aplica cada acción disponible. - Para instalar un Host Sensor, seleccione Instalar Sensor. Para eliminar un Host Sensor, seleccione Eliminar Sensor.
Se abre el cuadro de diálogo Confirmar Acción con la lista de hosts a los que se aplica la acción.
- Haga clic en Ejecutar Acción.
Para instalar o eliminar un Host Sensor de un solo host:
- Para eliminar un Host Sensor de un host, en la columna Estado de Instalación, haga clic en .
- Para instalar un Host Sensor en un host, en la columna Estado de Instalación, haga clic en .
- Para instalar manualmente un Host Sensor en un host que no está en la lista de Hosts, haga clic en Descargar Host Sensor.
Para más información, consulte Instalación Manual de Host Sensor de TDR.
Reiniciar un Host Sensor
Para reiniciar un Host Sensor en WatchGuard Cloud:
- Iniciar Sesión en TDR.
- Seleccione Monitorizar > Detección de Amenazas.
- En la lista Dispositivos/Usuarios > Hosts, marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Reiniciar Sensor.
Se abre el cuadro de diálogo Confirmar Acción - Reiniciar Sensor. - Haga clic en Ejecutar Acción.
Actualizar un Host
Cuando la Actualización Automática del Host Sensor está habilitada en la página de Ajustes Generales, los Host Sensors se actualizan automáticamente cuando hay una nueva versión de TDR disponible. Para más información, consulte Ajustes Generales de TDR.
También puede elegir actualizar Host Sensors específicos manualmente cuando hay una nueva versión disponible. Un icono aparece en la columna Estado de Instalación si un Host Sensor se puede actualizar manualmente.
Para actualizar un host específico:
En la columna Estado de Instalación, junto al estado de instalación del Host Sensor, haga clic en .
El Host Sensor se actualiza a la nueva versión.
Para actualizar varios hosts:
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Actualizar.
El Host Sensor se actualiza a la nueva versión.
Contener un Host
Para evitar la propagación de amenazas en su red, puede contener un host. La contención cierra las conexiones de red en un host específico y previene conexiones nuevas para que las amenazas no puedan propagarse a través de la red. Para más información, consulte Configurar la Contención de TDR.
Para contener hosts, la Acción Habilitar la Contención del Host del Núcleo debe estar habilitada en los ajustes del Host Sensor. Para más información, consulte Configurar los Ajustes del Host Sensor de TDR.
Para contener un host:
- Marque la casilla de selección junto al host que desea contener.
- Seleccione Acciones > Contener Host.
Se abre el cuadro de diálogo Confirmar Acción – Contener el Host. - Haga clic en Ejecutar Acción.
El host está contenido y se muestra un icono de contención en la columna Estado del Sensor.
Liberar un Host Contenido
Los hosts contenidos se aíslan y no pueden conectarse a través de la red. Cuando se remedia una amenaza, puede liberar un host de la contención.
Para liberar un host manualmente de la contención:
- Marque la casilla de selección junto al host que desea liberar.
- Seleccione Acciones > Liberar Host.
Se abre el cuadro de diálogo Confirmar Acción – Liberar el Host. - Haga clic en Ejecutar Acción.
El host se libera de la contención.
Estado del Host y del Host Sensor
Para cada host, la página Hosts incluye esta información:
- Host — El nombre del host
- FQDN — El nombre de dominio totalmente calificado para el dominio donde el host está instalado
- IP — La dirección IPv4 reportada más recientemente por el host
- Tipo — El tipo de host (Windows, Linux o Mac)
- Sistema Operativo — El sistema operativo instalado en el host
- Estado de Instalación — El estado de instalación del Host Sensor en el host
- Estado del Sensor — El Estado del Host Sensor, descrito en la próxima sección
- Versión del Sensor — La versión del Host Sensor instalado
- Última Vez Visto — La última vez que se recibió un latido desde un Host Sensor instalado. Un Host Sensor instalado envía un latido a su cuenta de TDR cada 30 segundos.
- Grupo de Hosts — El Grupo de Hosts del que es miembro un host
Haga clic en Elegir Columnas para seleccionar qué columnas son visibles.
Puede filtrar y ordenar la lista Hosts en cualquiera de las columnas. Para borrar los filtros de columna, haga clic en y seleccione Borrar.
La fecha y hora en que la lista de Hosts se sincronizó por última vez se muestran en la parte superior de la página. Para sincronizar la lista de Hosts con AD Helper, haga clic en Sincronizar Ahora.
Estado de Instalación
La columna Estado de Instalación indica el estado de la instalación del Host Sensor. También puede indicar que la licencia del Host Sensor expiró.
- Instalado — El Host Sensor está instalado
- Instalando — La instalación del Host Sensor está en curso
- Instalación Pendiente — Se solicitó la acción Instalar Sensor, pero la instalación no se ha iniciado
- Desinstalando — La desinstalación del Host Sensor está en curso
- Error de Desinstalación — Se seleccionó la acción Eliminar Sensor, pero la desinstalación del Host Sensor falló
- Desinstalación Pendiente — Se seleccionó la acción Eliminar Sensor, pero la desinstalación no se ha iniciado
- No Instalado — El Host Sensor no está instalado
- Expirado — La licencia del Host Sensor ha expirado
Para obtener más información sobre la licencia y expiración del Host Sensor, consulte Licencias de TDR.
Estado del Host Sensor
El icono en la columna Estado del Sensor indica el estado del Host Sensor en cada host.
- — Host Sensor está instalado y operativo
- — Host Sensor está instalado, pero tiene un problema
- — Host Sensor no se está comunicando
- — Host Sensor se ha apagado correctamente
- — La protección del Host Sensor está en pausa
- — El Host Sensor ha contenido este host
Historial de Estado del Host y del Sensor
Puede expandir un host para ver un historial de las direcciones IP y el estado del Host Sensor para un host. Desde el historial del sensor, también puede actualizar el estado del sensor para indicar que se ha eliminado manualmente.
Para ver el historial del host en WatchGuard Cloud:
- Iniciar Sesión en TDR.
- Seleccione Monitorizar > Detección de Amenazas.
- Seleccione Dispositivos/Usuarios > Hosts.
- En la lista Hosts, busque el host correspondiente.
- Junto al nombre del host, haga clic en .
Aparece la lista de direcciones IP recientes asignadas a este host.
- Para ver el historial del estado del Host Sensor, seleccione la pestaña Sensor.
Aparece el historial de cambios recientes en el estado del Host Sensor.
- Para ver las entradas más antiguas en la lista Historial del Sensor, haga clic en Cargar Más.
- Para ver los usuarios que tienen una sesión abierta, seleccione la pestaña Usuarios.
Reconocer la Desinstalación Manual del Host Sensor
Si desinstala manualmente un Host Sensor, puede restablecer el estado del Host Sensor para ese host de manera que este no continúe usando una licencia de Host Sensor.
Para reconocer que ha desinstalado manualmente el Host Sensor:
- Junto al nombre del host, haga clic en .
Aparece el historial del Host Sensor. - Selecciona la pestaña Sensor.
- Haga clic en Reconocer.
- Haga clic en Actualizar.
La página Host se actualiza. Si el host fue agregado por AD Helper, el Estado de Instalación cambia a Desinstalado. Si el host no fue agregado a la lista de Hosts por AD Helper, se elimina de la lista de Hosts.
Para obtener información sobre cómo desinstalar manualmente un Host Sensor, consulte Desinstalar Host Sensors de TDR.
Editar o Eliminar un Host
En la página Hosts, puede editar un host. Para cualquier host, puede especificar que el host es un servidor DNS o un servidor proxy en su red. Threat Detection and Response no realiza acciones basadas en los eventos de red detectados para los hosts que usted identifica como un servidor proxy o servidor DNS, ya que estos hosts pueden no ser el origen real de la actividad potencialmente maliciosa. También puede eliminar un host que se instaló manualmente.
- Junto al host, haga clic en .
- Seleccione Editar Dispositivo.
Se abre el cuadro de diálogo Editar Dispositivo.
- Si este host es un servidor DNS en su red, marque la casilla de selección DNS.
- Si este host es un servidor proxy en su red, marque la casilla de selección Proxy.
- Si el host no fue agregado por AD Helper, usted puede editar los Detalles del Dispositivo, que incluyen el Nombre y Dominio del host, así como información sobre el sistema operativo instalado.
- Haga clic en Guardar y Cerrar.
- Junto al host, haga clic en .
- Seleccione Eliminar Dispositivo.
Se abre un cuadro de diálogo de confirmación. - Haga clic en Sí, Eliminar.
Pausar la Protección para un Host
Los usuarios con un rol de Administrator o Analyst pueden pausar de forma remota la protección para Hosts durante un mínimo de 5 minutos y un máximo de 120 minutos. Quizá desee pausar la protección si necesita instalar una actualización del sistema que entraría en conflicto con TDR.
Cuando la protección está en pausa, el Host Sensor no escanea archivos, procesos ni entradas de registro, y no envía eventos a la nube. Host Ransomware Protection también se deshabilita temporalmente.
Los mensajes de estado aparecen en el historial del Sensor. Por medio del mensaje de estado, puede determinar si la protección se pausó remota o localmente.
- Pausa local: Pausada por usuario@nombre de host
- Pausa remota: Pausada remotamente por Nombre de Usuario
En los equipos con Windows, los usuarios recibirán una notificación a través del icono de la bandeja del sistema y una notificación emergente. Los usuarios no pueden reiniciar la protección desde su computadora.
- Seleccione Dispositivos/Usuarios > Hosts.
- En la lista Hosts, busque los hosts correspondientes.
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Pausar Protección para el Host.
Aparece el cuadro de diálogo Pausar Hosts. - Ingrese el tiempo en minutos que desea pausar la protección.
El tiempo mínimo es de 5 minutos y el tiempo máximo es de 120 minutos. - Haga clic en Aceptar.
- Seleccione Dispositivos/Usuarios > Hosts.
- En la lista Hosts, busque los hosts correspondientes.
- Marque la casilla de selección junto a uno o más hosts en la lista.
- Seleccione Acciones > Reiniciar Protección para el Host.
Se abre el cuadro de diálogo Confirmar Acción - Reiniciar la Protección para el Host. - Haga clic en Ejecutar Acción.
Exportar la Lista de Hosts
Puede exportar la lista de hosts de su cuenta de TDR a un archivo de texto. En el archivo de texto, los encabezados y valores de columna para cada host se muestran entre comillas. Puede abrir este archivo en un editor de texto, o puede importarlo a un programa de hoja de cálculo, como Microsoft Excel.
Para exportar la lista de hosts, en la parte superior de la página Hosts, haga clic en Exportar.
Ver También
Ícono de la Bandeja del Sistema del Host Sensor de TDR
Navegación, Filtros y Funciones Comunes de la UI de TDR en WatchGuard Cloud