TDR aprovecha el servicio de APT Blocker para analizar los nuevos archivos sospechosos identificados por un Host Sensor. El servicio APT Blocker de WatchGuard utiliza el análisis de emulación de sistema completo para identificar las características y el comportamiento del malware APT en los archivos que ingresan a su red. Los Host Sensors de TDR pueden cargar un archivo sospechoso para su análisis incluso si el host no está conectado a una red protegida por un Firebox. El resultado del Análisis de Caja de Arena es un Nivel de Amenaza APT asignado a un archivo. El motor de análisis de ThreatSync de TDR usa el Nivel de Amenaza de APT para determinar si se aumenta la Puntuación de Amenaza asignada a un indicador.
La caja de arena se encuentra en un centro de datos basado en la nube. La caja de arena para su cuenta de TDR se encuentra en la misma región donde se almacenan los datos de su cuenta de TDR. Por ejemplo, si la región de su cuenta de TDR es Europa, la caja de arena también está en Europa.
Habilitar APT Blocker
La función de APT Blocker permite a los Host Sensors cargar archivos para su análisis. Puede elegir habilitar o deshabilitar esta función. Para configurar esta función, debe estar habilitada en su cuenta de TDR.
Para habilitar APT Blocker en TDR:
- Iniciar Sesión en TDR.
- Seleccione Configurar > Detección de Amenazas.
- En la sección ThreatSync, seleccione General.
- A un lado de la función APT Blocker, marque la casilla de selección Función Encendida.
- Haga clic en Guardar.
Para más información, consulte Ajustes Generales de TDR.
Acción de Poner Archivo en la Caja de Arena
En TDR, la acción Poner Archivo en la Caja de Arena permite a los Host Sensors cargar los archivos sospechosos para su análisis. Puede configurar una política de APT Blocker para permitir esta acción o puede seleccionarla como una acción manual después de que un Host Sensor solicite la acción de Poner Archivo en la Caja de Arena para un archivo.
Si instala Host Sensors detrás de un Firebox que tenga una política de proxy-HTTPS con inspección de contenido y validación de certificación habilitadas, podría ser necesario configurar una política de filtrado de paquetes HTTPS para permitir que los Host Sensors carguen archivos para su análisis. Para más información, consulte Configurar una Política de Firewall para el Tráfico de TDR.
Un Host Sensor carga un archivo a TDR para su análisis bajo estas condiciones:
- Las heurísticas de proceso o registro indican al Host Sensor que un archivo es sospechoso
- El tamaño del archivo es inferior a 10 MB
- El valor MD5 del archivo no coincide con un archivo analizado previamente
- El archivo no está firmado por un proveedor de confianza
- Una política de APT Blocker de TDR activa o una acción manual de TDR especifica la acción Poner Archivo en la Caja de Arena
La acción de Poner Archivo en la Caja de Arena puede demorar hasta 20 minutos. Mientras la acción de Poner Archivo en la Caja de Arena está en curso, ocurren estos eventos:
- El Host Sensor carga el archivo a la nube de TDR
- TDR envía el archivo a una caja de arena regional segura para su análisis
- El Host Sensor rastrea cualquier copia o cambio en la ubicación del archivo en caso de que sea necesario remediarlo
- APT Blocker ejecuta el archivo y lo analiza en busca de amenazas
- APT Blocker envía a TDR el resultado del Nivel de Amenaza de APT
- TDR actualiza la Puntuación de Amenaza asociada con el indicador
TDR ajusta las Puntuaciones de Amenaza para los indicadores solo si un Host Sensor solicita un Análisis de Caja de Arena. TDR no ajusta la Puntuación de Amenaza de los indicadores si un Host Sensor no solicitó el Análisis de Caja de Arena, e incluso si otro Host Sensor solicitó el Análisis de Caja de Arena en el mismo archivo.
El Host Sensor no solicita la acción Poner Archivo en la Caja de Arena para los eventos de Host Ransomware Prevention (HRP). Si HRP está habilitado en el modo Prevenir, cuando el Host Sensor detecta ransomware, automáticamente toma acciones para poner el archivo en cuarentena y finalizar el proceso. Para más información, consulte Acerca de Host Ransomware Prevention de TDR.
Niveles de Amenaza de APT Blocker y Puntuaciones de Amenaza del Indicador
Cuando el archivo sospechoso se detecta por primera vez, TDR asigna una puntuación del indicador basándose en la heurística, y solicita la acción de Poner Archivo en la Caja de Arena. APT Blocker categoriza la actividad APT en base a la gravedad de la amenaza. Los Niveles de Amenaza de APT Blocker en TDR son los mismos que los Niveles de Amenaza de APT Blocker en un Firebox.
Los Niveles de Amenaza Alto, Medio y Bajo indican la gravedad del malware. Esta clasificación se determina en base a una puntuación asignada al archivo cuando es analizado por APT Blocker. Para los Niveles de Amenaza Alto, Medio y Bajo, TDR aumenta la Puntuación de Amenaza del indicador.
El Nivel de Amenaza Limpio indica que se determinó que el archivo está libre de malware. Para el Nivel de Amenaza Limpio, TDR no cambia la Puntuación de Amenaza del indicador.
| Nivel de Amenaza de APT Blocker | Puntuación de Amenaza de TDR |
|---|---|
| Alto | 9 (Crítico) |
| Medio | 8 (Grave) |
| Bajo | 7 (Alto) |
| Limpio | Sin cambios |
Usted puede configurar una combinación de políticas de APT Blocker y políticas de Remediación para permitir que los Host Sensors de TDR analicen y respondan automáticamente a las amenazas emergentes. Para obtener información sobre las políticas recomendadas, consulte Políticas de TDR Recomendadas.
Ver el Estado del Análisis de Caja de Arena de APT Blocker
Para ver el estado de una acción de Poner Archivo en la Caja de Arena de APT Blocker para los indicadores en WatchGuard Cloud:
- Seleccione Monitorizar > Detección de Amenazas.
- En la sección Threatsync, seleccione Indicadores.
- Haga clic en
y seleccione Despejar para despejar los filtros. - En el encabezado de columna Acción Solicitada, seleccione la acción de Poner Archivo en la Caja de Arena. Haga clic en Aplicar.
La lista Indicadores se filtra para mostrar solo los indicadores donde el Host Sensor solicitó la acción de Poner Archivo en la Caja de Arena.
- La columna Resultado muestra el estado de la acción Poner Archivo en la Caja de Arena para cada Host Sensor.
- Para ver información adicional de un indicador, en la columna Indicador, haga clic en Información Adicional.
El estado del Análisis de Caja de Arena aparece en la sección de APT Blocker de los detalles adicionales para un indicador.
- Si el tamaño del archivo es superior a 10 MB, el estado de APT Blocker es No elegible. Este estado aparece si el archivo es demasiado grande para cargarlo a APT Blocker para su análisis.
- Si el archivo se encuentra en la Papelera de Reciclaje, el estado del APT Blocker es Inelegible. HRP pone automáticamente en cuarentena los archivos ejecutables en la Papelera de Reciclaje cuando se ejecutan y no se cargan en APT Blocker para su análisis.
- Si el Análisis de Caja de Arena no está completo, el estado de APT Blocker es Desconocido. Este estado se muestra si la acción Poner Archivo en la Caja de Arena está en curso o si no hay una política para permitir la acción.
- Una vez que se completa el Análisis de Caja de Arena, el estado de APT Blocker indica el Nivel de Amenaza. Si es apropiado, la puntuación del indicador también se ajusta basándose en el análisis del archivo.
Para obtener más información sobre cómo administrar indicadores en TDR, consulte Administrar los Indicadores de TDR.