Mejores Prácticas de Implementación de TDR

Un Host Sensor de TDR puede poner archivos en cuarentena, detener procesos y eliminar entradas de registro automáticamente si identifica un archivo o proceso como ransomware u otro tipo de amenaza. Debido a que el Host Sensor toma acciones que podrían afectar a otras aplicaciones instaladas en sus hosts, recomendamos que considere estas mejores prácticas para su implementación de TDR.

Para completar los procedimientos descritos en este tema, debe iniciar sesión en TDR como un usuario con privilegios de Operador.

Implementación del Host Sensor en Fases

Si el Host Sensor identifica un archivo o proceso como una amenaza, y las políticas de TDR activas permiten una acción de remediación, el Host Sensor actúa automáticamente para deshabilitarlo. Para identificar interacciones potenciales con otro software instalado en el que usted confía, recomendamos que primero implemente y pruebe los Host Sensors en un pequeño conjunto de hosts que ejecuten aplicaciones comúnmente usadas en su red. Una pequeña implementación piloto puede permitirle identificar cualquier interacción entre el Host Sensor y otras aplicaciones, de modo que pueda agregar excepciones para resolver cualquier problema de interoperabilidad o de rendimiento antes de una implementación más amplia.

Debe decidir cuántos y qué tipos de host incluir en su implementación piloto. Para cada host, instale el Host Sensor y luego use otro software en el host. Monitoree los indicadores en su cuenta de TDR para ver las amenazas y acciones reportadas por los Host Sensors.

Si un Host Sensor identifica una amenaza, puede observar los detalles en el indicador para ver el nombre del archivo o proceso y por qué se lo consideró una amenaza.

Para ver los indicadores de un host:

1. Seleccione ThreatSync > Indicadores.
   Aparece la página Indicadores.
2. Borre todos los filtros y luego filtre o busque por el nombre de host.
3. Para ver más información sobre un indicador, en la columna Indicador, haga clic en Información Adicional.

Para obtener más información sobre la página Indicadores, consulte Administrar los Indicadores de TDR.

Si el Host Sensor identifica una aplicación de confianza como una amenaza, puede agregar el valor de MD5 a las Anulaciones de Firmas como un artículo de la Lista Blanca. TDR no genera indicadores para los archivos que agregue a la Lista Blanca.

Para agregar un archivo a la Lista Blanca:

1. En la página Indicadores, busque el indicador para la aplicación que desea agregar a la Lista Blanca.
2. Marque la casilla de selección junto al indicador.
3. De la lista desplegable Acciones, seleccione Lista Blanca.
   Aparece el cuadro de diálogo Confirmar Acción.
4. Haga clic en Ejecutar Acción.

Si el Host Sensor causa problemas de rendimiento o conflictos con otro software que causa que el Host Sensor u otro software no funcione, puede agregar una exclusión para la ruta de instalación del software. Una exclusión causa que el Host Sensor ignore los archivos en la ruta especificada.

Para agregar una exclusión:

1. Seleccione Configurar > Exclusión.
2. Haga clic en Agregar.
3. Especifique la ruta a excluir.

Para obtener más información sobre cómo agregar una exclusión, consulte Configurar las Exclusiones de TDR.

Si el Host Sensor pone un archivo en cuarentena, lo cifra y almacena en el directorio de cuarentena del host. Puede usar la acción de retirar de cuarentena para remover el archivo de la cuarentena. Para retirar un archivo de la cuarentena:

1. En la página Indicadores, busque el indicador correspondiente. Para un indicador con una acción de Poner en Cuarentena exitosa, la puntuación de amenaza es 1.
2. Seleccione el indicador.
3. Seleccione la acción Retirar Archivo de la Cuarentena o Retirar HRP de la Cuarentena. La acción disponible depende de si el archivo fue puesto en cuarentena por Host Ransomware Prevention (HRP) o como resultado de la acción Poner Archivo en Cuarentena.

Para obtener más información sobre cómo retirar un archivo de la cuarentena, consulte Eliminar un Archivo de Cuarentena.

Agregar Exclusiones para Antivirus de Computadora

El Host Sensor de TDR y el antivirus de la computadora detectan y previenen las amenazas. Para prevenir conflictos entre el Host Sensor y el software antivirus de la computadora, le recomendamos que agregue exclusiones en TDR y en su software antivirus de computadora.

Configurar el Software Antivirus de Computadora para Excluir las Rutas de Archivos de TDR

En la configuración del software antivirus de la computadora, agregue el directorio de instalación de Host Sensor de TDR a la lista de exclusiones o lista blanca.

Los directorios a excluir son:

c:\Program Files (x86)\WatchGuard\Threat Detection and Response\

c:\Program Files\WatchGuard\Threat Detection and Response\

Consulte la documentación de su proveedor de software antivirus para obtener instrucciones sobre cómo editar la lista de exclusiones o lista blanca.

Configurar TDR para Excluir las Rutas de Archivos Antivirus de Computadora

En TDR, agregue exclusiones para las ubicaciones donde está instalado su software antivirus. Las rutas para excluir son diferentes para cada proveedor de antivirus de computadora, y pueden ser diferentes para cada versión de sistema operativo o de software antivirus. Pruebe el Host Sensor con el software antivirus de su computadora para asegurarse de que ha excluido todas las rutas necesarias.

Para obtener una lista parcial de rutas de acceso de archivos para excluir algunos antivirus populares, consulte Agregar exclusiones de TDR para software antivirus en la Base de Consulta de WatchGuard.

Para obtener más información sobre cómo agregar una exclusión en TDR, consulte Exclusiones de Host Sensors y Software AV.

Configurar Grupos de Hosts

De manera predeterminada, la configuración global del Host Sensor y las políticas de TDR predeterminadas se aplican a todos los Host Sensor desplegados. Recomendamos que configure Grupos de Hosts para que pueda configurar fácilmente diferentes ajustes y políticas de Host Sensor para cada grupo. Puede usar los Grupos de Hosts para agrupar los hosts que tienen una versión, hardware, aplicaciones o tipo de usuario similares. Por ejemplo, puede crear grupos para Servidores, Computadoras con Windows 7, Computadoras Portátiles, Ventas, Finanzas, Soporte, etc. Después de configurar los Grupos de Hosts, puede cambiar la configuración del Host Sensor para cada grupo, y puede usar los nombres de grupos en sus políticas de TDR. Recomendamos que pruebe algunos hosts en cada grupo como parte de su fase inicial de implementación.

Para agregar un Grupo de Hosts:

1. Seleccione Configuración > Grupos.
2. Haga clic en Agregar Grupo.
3. En el cuadro de texto Nombre de Grupo, ingrese un nombre para el grupo.
4. De la lista desplegable Tipo, seleccione Host. Esta es la opción predeterminada.
5. En el cuadro de texto Hosts, para buscar un nombre de host, escriba al menos tres caracteres del nombre de host.
   Los nombres de host que contengan los caracteres que escriba aparecen debajo del cuadro de texto.
6. Seleccione el host que desea agregar.
7. Repita los dos pasos anteriores para cada host que desee agregar.
8. Para eliminar un host, junto al nombre de host, haga clic en .
9. Haga clic en Guardar y Cerrar.

Para obtener más información sobre cómo configurar Grupos, consulte Administrar los Grupos de TDR.

Configurar los Ajustes de Host Sensor para Grupos de Hosts

Para cada Grupo de Hosts, puede configurar los ajustes de Host Sensor para usarlos para los hosts de ese grupo. En la configuración del Grupo de Hosts, puede anular la configuración global de Host Sensor y especificar diferentes configuraciones de Host Sensor para el grupo.

Para configurar los ajustes de Host Sensor para un Grupo de Hosts:

1. Seleccione Configuración > Grupos.
2. Adyacente al nombre del grupo, haga clic en .
   
3. Seleccione la pestaña Configuración de Host Sensor.
4. Haga clic en el switch Anular la configuración de Host Sensor para este grupo.
5. Configure los ajustes de Host Sensor para el grupo.

Como guía, WatchGuard proporciona los ajustes de configuración recomendados para Host Sensor para algunos tipos de hosts. Recomendamos que pruebe primero esta configuración con un pequeño conjunto de hosts para identificar cualquier problema.

La mejor configuración de Host Sensor para sus hosts puede ser diferente según el sistema operativo y las aplicaciones instaladas, el hardware físico o virtual, y otros aspectos del entorno de hosts.

Para evitar conflictos con el software del servidor, recomendamos que deshabilite Host Ransomware Prevention y no habilite los ajustes de la configuración del controlador.

Ajustes de Host Sensor

• Permitir Eventos en Host Sensors: HABILITADO
• Host Ransomware Prevention DESHABILITADO
• Permitir Heurística en Host Sensors: HABILITADO
• Permitir Módulos Cargados en Host Sensors: DESHABILITADO
• Permitir Valores de Referencia en Host Sensors: DESHABILITADO

Ajustes de la Configuración del Controlador de Host Sensor:

• Todos los ajustes de la configuración del controlador: DESHABILITADO

Configuración de Host Sensor Recomendado para Windows 7

En algunas computadoras con Windows 7, particularmente aquellas con hardware más antiguo, el Host Sensor se desempeña mejor con los ajustes de configuración del controlador de Host Sensor habilitados.

Configuración de Host Sensor:

• Permitir Eventos en Host Sensors: HABILITADO
• Host Ransomware Prevention PREVENIR
• Permitir Heurística en Host Sensors: HABILITADO
• Permitir Módulos Cargados en Host Sensors: DESHABILITADO
• Permitir Valores de Referencia en Host Sensors: DESHABILITADO

Ajustes de la Configuración del Controlador del Host Sensor:

• Todos los ajustes de la configuración del controlador: DESHABILITADO

Configuración Recomendada de Host Sensor para la Mayoría de los Otros Hosts

Los ajustes de la configuración del controlador de Host Sensor controlan si algunas acciones del Host Sensor ocurren en el espacio del usuario o en el espacio del núcleo. Para obtener el mejor desempeño del Host Sensor en la mayoría de los hosts, le recomendamos que habilite y pruebe los ajustes de la configuración del controlador de Host Sensor. Estas configuraciones no están habilitadas de manera predeterminada en la configuración global de Host Sensor para evitar problemas con los Host Sensors implementados en los servidores.

Configuración de Host Sensor:

• Permitir Eventos en Host Sensors: HABILITADO
• Host Ransomware Prevention PREVENIR
• Permitir Heurística en Host Sensors: HABILITADO
• Permitir Módulos Cargados en Host Sensors: DESHABILITADO
• Permitir Valores de Referencia en Host Sensors: DESHABILITADO

Ajustes de la Configuración del Controlador del Host Sensor:

• Todos los ajustes de la configuración del controlador: HABILITADO

Para obtener más información sobre la Configuración de Host Sensor, consulte Configurar los Ajustes del Host Sensor de TDR.

Configurar Políticas para Grupos de Hosts

Cada cuenta de TDR tiene políticas predeterminadas habilitadas de manera predeterminada. Estas políticas permiten que los Host Sensors tomen acciones de remediación automatizadas para diferentes niveles de amenaza basándose en el nivel de Cybercon que usted establezca en su cuenta de TDR. Las políticas de TDR predeterminadas se aplican al grupo Todos los Hosts integrado, y definen las acciones automatizadas que el Host Sensor puede realizar para todos los hosts. Para un control más detallado sobre las acciones automatizadas, puede agregar políticas para Grupos de Hosts específicos, o incluso hosts específicos para cambiar las acciones que los Host Sensors pueden realizar.

Por ejemplo, si tiene un grupo de Servidores y no desea que los Host Sensors en los servidores de ese grupo realicen cambios en el registro, puede agregar una política para el grupo de Servidores que especifique que los Host Sensors no pueden realizar la acción Eliminar el Valor del Registro. O bien, si no desea que los Host Sensors de un grupo tomen alguna acción de remediación automatizada, agregue una política para ese grupo que especifique que los Host Sensors no pueden realizar las acciones de Poner Archivo en Cuarentena, Detener el Proceso o Eliminar el Valor del Registro.

Si agrega una política para un Grupo de Hosts, asegúrese de que tenga una prioridad más alta en la lista de políticas que otras políticas que se aplican a Todos los Hosts.

Para obtener información sobre las políticas de TDR predeterminadas y recomendadas, consulte Políticas de TDR Recomendadas

Vea también

Configurar las Políticas de TDR

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.