Acerca de Host Ransomware Prevention de TDR

Los Host Sensors de Threat Detection and Response para Windows incluyen Host Ransomware Prevention (HRP), el cual puede identificar y poner en cuarentena los archivos y detener los procesos con el comportamiento malicioso que es característico del ransomware. La incorporación del aprendizaje automático a HRP deriva en tasas de detección más rápidas.

Modos HRP

Puede habilitar el Host Ransomware Prevention en uno de dos modos:

Detectar — Los Host Sensors encuentran procesos y archivos con características de ransomware, y envían informes sobre ellos a su cuenta de Threat Detection and Response para la intervención manual.
Prevenir — Los Host Sensors detectan y finalizan automáticamente los procesos y ponen en cuarentena los archivos con características de ransomware antes de que el ransomware cifre los archivos. Los Host Sensors envían informes sobre esta actividad a su cuenta de Threat Detection and Response como un indicador de que ya está mitigado. Si el Host Sensor no puede completar con éxito la acción Prevenir de HRP, esta información también se envía a su cuenta de TDR para una intervención manual.

Los Analyst pueden configurar el modo Host Ransomware Prevention en Configurar > Detección de Amenazas > Ajustes en WatchGuard Cloud. Cuando está habilitado ya sea en modo Prevenir o Detectar, el Host Sensor crea en el endpoint carpetas y archivos señuelo ocultos. Si el usuario elimina los archivos ocultos, el Host Sensor los crea automáticamente la próxima vez que se inicia.

Acciones de HRP y Puntuaciones de Amenazas

Cuando HRP está configurado en el modo Prevención, el Host Sensor intenta tomar acción inmediata para detener y poner en cuarentena el ransomware antes de que pueda ejecutarse y cifrar archivos. Esta acción ocurre inmediatamente, incluso si el Host Sensor no se puede conectar a su cuenta de TDR o a Internet.

La próxima vez que el Host Sensor se conecte a su cuenta de TDR, enviará un informe del evento de HRP e información sobre las acciones que tomó. ThreatSync crea un indicador para el evento HRP y asigna una Puntuación de Amenaza.

En modo Prevenir:

Si la acción de remediación del Host Sensor tuvo éxito, al incidente de HRP se le asigna una Puntuación de Amenaza de 1 (Remediada)
Si la acción de remediación del Host Sensor no tuvo éxito, al incidente de HRP se le asigna una Puntuación de Amenaza de 10 (Crítica)

En modo Detectar, a todos los incidentes de HRP se les asigna una Puntuación de Amenaza de 7 (Alta).

Tabla HRP

La información en la tabla HRP es una representación visual del resumen de comportamiento del indicador HRP. La Tabla de Host Ransomware Prevention muestra los procesos generados y los comportamientos desencadenados durante el ataque a su red, antes de ser eliminados como un diagrama de flujo interactivo. Puede exportar la tabla como una imagen.

Screenshot of TDR HRP Behavior Summary Chart

La tabla se abre en un formato compacto. Tiene varias opciones para mostrar información adicional de manera progresiva:

Haga clic en + en un nodo de proceso para ver los comportamientos relacionados con el proceso.
Pase el cursor sobre un proceso o comportamiento para ver los detalles.
Haga clic en un comportamiento o nodo de proceso para resaltar comportamientos y procesos relacionados.

Indicadores de HRP

Debido a que el ransomware puede crear múltiples procesos, un indicador de HRP puede incluir acciones para detener múltiples procesos, o poner en cuarentena varios archivos relacionados con la amenaza detectada. Puede ver información sobre los indicadores de HRP desde la página Monitorizar > Threatsync > Indicadores, o bien si el indicador se remedió, desde la página Monitorizar > Threatsync > Remediaciones.

Para filtrar la lista para que muestre solo indicadores de HRP:

Seleccione ThreatSync > Indicadores.
Haga clic en para borrar todos los filtros.
En la parte superior de la columna Indicador, seleccione Host Ransomware Prevention.

Si se remedia un indicador de HRP, la puntuación de amenaza es 1 en la página Indicadores. Esta puntuación de amenaza no está seleccionada en el filtro de puntuación predeterminada. Para ver solo los indicadores de HRP remediados, consulte la página Threatsync > Remediaciones.

Para ver una lista detallada de todas las acciones y archivos relacionados con un indicador HRP:

En la columna Indicador para un indicador de HRP, haga clic en Información Adicional.
Se abre el cuadro de diálogo Información adicional de Host Ransomware Prevention.

Screen shot of the Additional Host Ransomware Prevention Information dialog box

En la sección Detalles de Amenazas, haga clic en Detalles.
Se abre el cuadro de diálogo de resumen del Comportamiento con una lista de las acciones tomadas para todos los archivos relacionados con el indicador.

Screen shot of the Behavior summary dialog box for an HRP indicator

Para ver una lista completa de las acciones para el indicador, haga clic en el enlace aquí en la parte inferior de la lista.
Se abre el Registro de Acciones para este indicador.
Para obtener un diagrama de flujo visual del resumen de comportamientos, en la sección Detalles de Amenazas, haga clic en Tabla.
La Vista de Tabla de Host Ransomware Prevention aparece en un formato compacto con solo los procesos mostrados.

Para obtener más información sobre la página Indicadores, consulte Administrar los Indicadores de TDR.

Para obtener más información sobre la página Remediaciones, consulte Monitorizar las Remediaciones de TDR.

Acciones de HRP y Archivos en Cuarentena

El Host Sensor puede poner en cuarentena uno o más archivos como parte de una acción de HRP. Puede ver las acciones de Poner Archivo en Cuarentena en los detalles del indicador HRP, como se describió en la sección anterior.

Para eliminar de cuarentena los archivos relacionados con un indicador HRP, ejecute la acción Retirar HRP de la Cuarentena para el indicador. Para más información, consulte Eliminar un Archivo de Cuarentena.

Acciones de HRP y la Lista de Permitidos

Para prevenir el ransomware, el Host Sensor toma acción inmediata para detener el proceso, incluso antes de enviar el MD5 a TDR para su análisis. Esto significa que, si agrega el MD5 de un archivo a la Lista de Permitidos, el Host Sensor aún puede detener el proceso si se detecta como ransomware.

Si desea que el Host Sensor ignore un archivo, incluso si tiene las características de ransomware, puede agregar una Exclusión para la ubicación de directorio. El Host Sensor recibe la lista de exclusiones cuando se inicia y cuando esta se actualiza. Para más información, consulte Configurar las Exclusiones de TDR.

Ver También

Acerca de las Puntuaciones de Amenaza de TDR

Configurar los Ajustes del Host Sensor de TDR

Administrar los Grupos de TDR

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.