Resumen del primer trimestre de ThreatSync: Alertas más inteligentes, mayor control y mejor visibilidad.
Bienvenido al primer resumen trimestral de ThreatSync. En este espacio, compartiremos un resumen de las funciones más recientes que se han incorporado en los últimos meses. En este trimestre, ThreatSync presentó varias mejoras diseñadas para aumentar la eficiencia, ofrecer un mayor control y brindar una visibilidad más profunda.
Este trimestre también marcó el segundo aniversario del lanzamiento de ThreatSync Core, nuestra solución XDR nativa incluida en WatchGuard Cloud. Desde su lanzamiento, hemos impulsado una integración más profunda entre las capas de seguridad de WatchGuard, optimizado los flujos de trabajo para los analistas y mejorado los sistemas de puntuación. Aún mejor, incorporamos un motor de inteligencia artificial de última generación: ThreatSync+.
Hoy en día, los partners de WatchGuard confían en nuestras soluciones XDR y NDR para proteger a más de 150,000 usuarios en todo el mundo, y cada día se suman más.
Quarterly Release Snapshot
WatchGuard ThreatSync+
Alertas mejoradas y nuevas reglas de notificación
Hemos incorporado nuevas reglas de notificación para DHCP, NetFlow y NDR Heartbeat, que ayudan a detectar cuando las fuentes de registros dejan de enviar información. También puedes silenciar las notificaciones por fallos del colector y configurar qué fuentes de registros tendrán estas notificaciones silenciadas.
Nuevos disparadores de notificación:
|
DHCP
|
NetFlow
|
NDR Heartbeat
|
Información Ampliada Basada en el Tráfico
Comprender la actividad de la red es fundamental para la detección de amenazas. ThreatSync+ ha incorporado una nueva columna de Actividad en la página de Detalles de Alertas de Políticas, la cual muestra la actividad total de destino por cada origen. Esta mejora brinda una visión más clara del comportamiento de la red, lo que facilita la identificación de posibles amenazas.
Registros en Crudo, Contexto Real
El acceso a los registros en crudo es esencial para un análisis completo de incidentes. ThreatSync+ en su versión SaaS ahora permite acceder directamente a registros en crudo de Microsoft 365, lo cual habilita un análisis detallado de la actividad de usuarios y documentos. Esta funcionalidad es especialmente útil para investigar anomalías, como inicios de sesión inesperados, proporcionando el contexto necesario para tomar decisiones informadas.
Notificaciones en Formato JSON
Para las organizaciones que utilizan sistemas de Gestión de Información y Eventos de Seguridad (SIEM), integrar distintos formatos de datos puede representar un reto. ThreatSync+ ahora admite el envío de correos de reglas de notificación en formato JSON, lo que facilita una integración fluida con herramientas SIEM y mejora la interoperabilidad de los datos.
WatchGuard ThreatSync Core
Roles Personalizados, Reglas a Tu Medida
El control de acceso granular es un elemento clave en la gestión de identidad y acceso. Permite a las organizaciones definir permisos específicos para usuarios y grupos. ThreatSync Core ahora permite la creación de roles personalizados con controles detallados sobre distintas áreas funcionales, asegurando que los miembros del equipo cuenten con los niveles de acceso adecuados, lo que mejora la seguridad y la eficiencia operativa.
Reclasificación de Incidentes
ThreatSync ahora admite la reclasificación dinámica de incidentes basada en análisis actualizados provenientes de WatchGuard Endpoint Security. Esto garantiza que la cola de incidentes refleje siempre la información más reciente, permitiendo a los equipos de seguridad concentrarse en amenazas reales y reducir el tiempo invertido en falsos positivos.
Ahora, cuando WatchGuard Endpoint Security termina de clasificar un archivo, ThreatSync Core:
- Recalcula la puntuación de riesgo
- Actualiza el tipo de incidente
- Ejecuta nuevamente las políticas de automatización según el nuevo veredicto
Esto mantiene la cola de incidentes actualizada, evitando la pérdida de tiempo persiguiendo “fantasmas” que resultan ser archivos inofensivos.
Acceso a Credenciales
Con esta actualización, AuthPoint provee a ThreatSync Core de inteligencia clave sobre actividades relacionadas con el acceso a credenciales, eventos y señales, para su correlación y evaluación de riesgo. Juntos, ThreatSync Core y Credential Access ofrecen alertas tempranas que permiten a los equipos de TI actuar rápidamente y proteger su base instalada de MFA de AuthPoint.
Los incidentes de acceso a credenciales incluyen:
- Intentos de inicio de sesión con contraseña incorrecta
- Usuario recibió demasiadas notificaciones Push
- Autenticación denegada por política de AuthPoint
- Token bloqueado por múltiples intentos fallidos
- Usuario desactivó las notificaciones Push
- Intento de autenticación por parte de un usuario desconocido
Conclusión
Estas mejoras reflejan nuestro compromiso con brindar herramientas que no solo refuercen la postura de seguridad, sino que también aumenten la eficiencia y el bienestar de los equipos encargados de la ciberseguridad. Al abordar desafíos comunes como la fatiga por alertas, la gestión de registros y el control de accesos, ThreatSync busca empoderar a las organizaciones para enfrentar con mayor eficacia el complejo panorama actual de la ciberseguridad.
¡Sigue atento para más actualizaciones de la familia de productos WatchGuard ThreatSync!
