Administrar las Plantillas de las Políticas de Automatización de ThreatSync (Service Providers)

Como WatchGuard Service Provider, puede crear plantillas de políticas de automatización de ThreatSync que incluyan varias políticas de automatización y, a continuación, asignar la plantilla a las cuentas Subscriber o a los grupos de cuentas que administra.

Las plantillas de políticas de automatización le permiten aplicar políticas de automatización de forma coherente en todas las cuentas administradas y grupos de cuentas, y ahorrar tiempo al configurar ThreatSync para cuentas nuevas.

Puede asignar varias cuentas administradas a la misma plantilla. Sin embargo, puede asignar una cuenta Subscriber a una sola plantilla de política de automatización.

  • Si asigna una cuenta a una segunda plantilla, la nueva plantilla sustituye a la primera.
  • Si asigna varias cuentas a una plantilla y algunas de esas cuentas tienen asignada una plantilla existente, debe seleccionar si desea conservar o sustituir las plantillas existentes para esas cuentas.

Cuando asigna plantillas de políticas de automatización a cuentas, las cuentas asignadas pueden ver las políticas de las plantillas en la lista Políticas de Automatización, pero no pueden editarlas.

En la página Plantillas de Políticas de Automatización, puede:

Agregar una Plantilla de Política de Automatización

Al crear una plantilla de política de automatización, se asignan cuentas a la plantilla y se agregan políticas de automatización. Cuando agrega o realiza cambios en las políticas de una plantilla, las cuentas asignadas reciben automáticamente las políticas actualizadas.

Puede cambiar el orden de prioridad de las políticas de automatización en una plantilla para ordenarlas de arriba a abajo. Si un incidente reúne las condiciones configuradas en varias políticas, ThreatSync realiza la acción especificada en la política de mayor rango correspondiente. Cada acción recomendada en un incidente se evalúa en forma individual frente a una política. Si un incidente no tiene una acción recomendada que coincida con una acción especificada en la política, esa política se omite. Para más información, vaya a Precedencia de la Política de Automatización de ThreatSync.

Las políticas de automatización asignadas a través de una plantilla aparecen primero en la lista de políticas de la cuenta Subscriber.

Para agregar una plantilla de política de automatización:

  1. En el Administrador de Cuentas, seleccione la cuenta del Service Provider.
    Para elegir su propia cuenta Service Provider, seleccione Descripción General. O seleccione una cuenta Service Provider de nivel 2.
  2. Seleccione Configurar > ThreatSync.
    Se abre la página Plantillas de Política de Automatización.

Screen shot of the Automation Policy Templates page for Service Providers

  1. Haga clic en Agregar Plantilla de Política de Automatización.
    Se abre la página Agregar Plantillas de Política de Automatización.

Screen shot of the Add Automation Policy Template page for Service Providers

  1. Ingrese un Nombre para su plantilla de política de automatización.
  2. (Opcional) Ingrese una Descripción para su plantilla de política de automatización.
  3. En el cuadro de texto Asignaciones, haga clic en Agregar Cuentas.
    Se abre el cuadro de diálogo Agregar Cuentas.
  4. Seleccione la cuenta o el grupo de cuentas a las que desea asignar la plantilla.
    Solo puede asignar una cuenta a una plantilla. Si asigna una cuenta a una segunda plantilla, se elimina la primera.
  5. Si intenta asignar una plantilla de política de automatización a varias cuentas o grupos de cuentas, y algunas de esas cuentas tienen asignada una plantilla existente, se abrirá el cuadro de diálogo Asignar Plantilla de Política. Seleccione una de estas opciones:
    • Conservar las Plantillas Existentes — Asigna la nueva plantilla solo a las cuentas seleccionadas que no tienen una plantilla existente. Las cuentas con plantillas existentes conservan esas plantillas.
    • Sustituir Todo con esta Plantilla — Asigna la nueva plantilla a todas las cuentas seleccionadas.

Screen shot of the Assign Policy Template dialog box

  1. Haga clic en Agregar.
  2. Repita los pasos del 6 al 9 para cada cuenta que desee agregar.
  3. Puede agregar las políticas de automatización que desee incluir en la plantilla. Para más información, vaya a Agregar una Política de Automatización a una Plantilla.
  4. Haga clic en Guardar.

Agregar una Política de Automatización a una Plantilla

Cuando se agrega una política de automatización, se especifican las condiciones y acciones que ThreatSync lleva a cabo en un incidente.

Para agregar una política de automatización a una plantilla:

  1. Agregue o edite una plantilla de política de automatización.
  1. Haga clic en Agregar Política de Automatización.
    Se abre la página Agregar Política.

Screen shot of the Add Policy page in ThreatSync

  1. Para habilitar la nueva política, haga clic en el interruptor Habilitado.
  2. Ingrese un Nombre para su política y cualquier comentario relevante.
  3. En la sección Tipo de Política, en la lista desplegable Tipo, seleccione el tipo de política que desea crear:
    • Remediation — La política de automatización realiza las acciones de remediación especificadas para los incidentes que cumplen las condiciones.
    • Archive — La política de automatización cambia el estado de los incidentes que cumplen las condiciones a Archivado.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. En la sección Condiciones, especifique las condiciones que debe cumplir un incidente para que se aplique esta política de automatización:

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Tipo de Incidente — Seleccione uno o más de estos tipos de incidentes:
      • Política de Seguridad Avanzada — La ejecución de scripts maliciosos y programas desconocidos que utilizan técnicas avanzadas de infección.
      • Exploit — Ataques que intentan inyectar código malicioso para explotar procesos vulnerables.
      • Intento de Intrusión — Un evento de seguridad en el que un intruso intenta obtener acceso no autorizado a un sistema.
      • IOA — Los Indicadores de Ataque (IOA) son indicadores que tienen alta probabilidad de ser un ataque.
      • URL Maliciosa — URL creada para distribuir malware, como ransomware.
      • IP Maliciosa — Una dirección IP asociada a una actividad maliciosa.
      • Malware — Software malicioso diseñado para dañar, interrumpir y obtener acceso no autorizado a sistemas informáticos.
      • PUP — Programas Potencialmente No Deseados (PUP) que pueden instalarse cuando se instala otro software en una computadora.
      • Virus — Código malicioso que se introduce en los sistemas informáticos.
      • Programa Desconocido — El programa fue bloqueado porque aún no ha sido clasificado por WatchGuard Endpoint Security.

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • Tipo de Dispositivo — Seleccione uno o varios de estos tipos de dispositivos:
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • Acciones Realizadas — Seleccione una o más de las acciones realizadas sobre un incidente (solo tipo de política Archive).
      • Conexión Bloqueada — Conexión bloqueada.
      • Proceso Bloqueado — Proceso bloqueado por un dispositivo de endpoint.
      • Dispositivo Aislado — La comunicación con el dispositivo está bloqueada.
      • Archivo Eliminado — El archivo se clasificó como malware y se eliminó.
      • IP Bloqueada — Las conexiones de red hacia y desde esta dirección IP están bloqueadas.
      • Proceso Detenido — Proceso finalizado por un dispositivo de endpoint.

  2. En la sección Acciones, en la lista desplegable, seleccione si desea realizar o impedir las acciones especificadas.
    • Perform (Realizar) — ThreatSync realiza las acciones especificadas para los nuevos incidentes que cumplen con las condiciones de la política.
    • Prevent (Prevenir) — ThreatSync previene las acciones especificadas. Para crear una excepción de una política más amplia Perform, puede agregar una política con la acción Prevent y clasificarla en un nivel más alto que la otra política en la lista de políticas. Una política con la acción Prevenir no impide la ejecución manual de una acción por parte de un operador.
  1. Seleccione una o varias de estas acciones para realizarlas o impedirlas:
    • Bloquear IP de Origen de la Amenaza (solo IP externas) — Bloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes con ThreatSync habilitado en la cuenta WatchGuard Cloud bloquean las conexiones hacia y desde la dirección IP.
    • Eliminar Archivo — Elimina los archivos marcados asociados con el incidente.
    • Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial.
    • Detener Proceso Malicioso — Interrumpe un proceso que mostró un comportamiento malicioso asociado con el incidente.
    • Archivar el Incidente — Cambia el estado del incidente a Archivado (solo en el tipo de política Archive).

    2. Si el tipo de política es Archive, la acción Archivar el Incidente se selecciona automáticamente y no se puede seleccionar una acción diferente.

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. Haga clic en Agregar.
    La nueva política se agrega a la lista de políticas.

Deshabilitar una Política de Automatización en una Plantilla

En la página Editar Plantilla de Política de Automatización, puede deshabilitar una o varias políticas de automatización de una plantilla y habilitarlas posteriormente.

Para deshabilitar una política de automatización en una plantilla:

  1. En el Administrador de Cuentas, seleccione la cuenta del Service Provider. Para elegir su propia cuenta Service Provider, seleccione Descripción General. O seleccione una cuenta Service Provider de nivel 2.
  2. Seleccione Configurar > ThreatSync.
    Se abre la página Plantillas de Política de Automatización.
  3. Seleccione la plantilla para la que desea deshabilitar la política de automatización.
    Se abre la página Editar Plantilla de Política de Automatización.
  4. En la fila de la política de automatización, deshabilite el interruptor Habilitado.
  5. Haga clic en Guardar.

Eliminar una Política de Automatización de una Plantilla

En la página Editar Plantilla de Política de Automatización, puede eliminar una política de automatización de una plantilla.

Para eliminar una política de automatización de una plantilla:

  1. En el Administrador de Cuentas, seleccione la cuenta del Service Provider. Para elegir su propia cuenta Service Provider, seleccione Descripción General. O seleccione una cuenta Service Provider de nivel 2.
  2. Seleccione Configurar > ThreatSync.
    Se abre la página Plantillas de Política de Automatización.
  3. Seleccione la plantilla de la que desea eliminar una política de automatización.
  4. Junto al nombre de la política que desea eliminar, haga clic en El icono Opciones.. Haga clic en Eliminar.
  5. Haga clic en Eliminar.
  6. Haga clic en Guardar.

Copiar una Plantilla de Política de Automatización

En la página Plantillas de Política de Automatización, puede copiar una plantilla de automatización y utilizarla como punto de partida para una nueva plantilla.

Para copiar una plantilla de política de automatización:

  1. En el Administrador de Cuentas, seleccione la cuenta del Service Provider. Para elegir su propia cuenta Service Provider, seleccione Descripción General. O seleccione una cuenta Service Provider de nivel 2.
  2. Seleccione Configurar > ThreatSync.
    Se abre la página Plantillas de Política de Automatización.
  3. En la fila de la plantilla que desea copiar, haga clic en .

  1. En la página Copiar Plantilla de Políticas de Automatización, ingrese un Nombre para la nueva plantilla.
  2. Realice los cambios necesarios en la plantilla.
    • Agregar asignaciones
    • Agregar o eliminar políticas
    • Habilitar o deshabilitar políticas
  3. Haga clic en Guardar.

Eliminar una Plantilla de Política de Automatización

En la página Plantillas de Política de Automatización, puede eliminar una plantilla de automatización si no está asignada a ninguna cuenta que administre.

Para eliminar una plantilla de política de automatización:

  1. En el Administrador de Cuentas, seleccione la cuenta del Service Provider. Para elegir su propia cuenta Service Provider, seleccione Descripción General. O seleccione una cuenta Service Provider de nivel 2.
  2. Seleccione Configurar > ThreatSync.
    Se abre la página Plantillas de Política de Automatización.
  3. En la fila de la plantilla que desea eliminar, haga clic en .

  1. Haga clic en Eliminar.
  2. Haga clic en Guardar.

Ver Cuentas Administradas con Políticas de Automatización a Nivel de Cuenta

En la página Plantillas de Políticas de Automatización, puede ver una lista de sus cuentas administradas con políticas de automatización a nivel de cuenta e implementar cualquier cambio de política pendiente.

Para implementar cambios de política pendientes para una o más cuentas administradas:

  1. Junto a la cuenta administrada con cambios de política pendientes, haga clic en Implementar.
  2. Para implementar cambios de política pendientes para varias cuentas administradas, haga clic en Implementar Todos los Cambios Pendientes.

Screenshot of the Accounts with Account-Level Automation Policies section

Los cambios se implementan en el motor de decisión de ThreatSync, que envía acciones a Fireboxes o dispositivos de endpoint cuando los incidentes coinciden con la política de automatización.

Temas Relacionados

Acerca de las Políticas de Automatización de ThreatSync

Administrar las Políticas de Automatización de ThreatSync (Subscribers)

Administrar Grupos de Cuentas

Configurar Ajustes de Dispositivo de ThreatSync

Configurar ThreatSync

Acerca de ThreatSync