Temas Relacionados
Configurar las Exclusiones de TDR
Si hay archivos o procesos que desea que el Host Sensors ignore, puede agregar una exclusión para identificar manualmente las rutas de los archivos y procesos que no desea que los Host Sensors monitoreen. Los Host Sensors no envían eventos a Threat Detection and Response (TDR) para los archivos y procesos en la lista Exclusiones.
Es importante comprender la diferencia entre la Lista Blanca y la lista Exclusiones.
Lista Blanca
La Lista Blanca identifica los archivos y procesos específicos que usted considera seguros. Para cambios en un archivo o proceso en la Lista Blanca, el Host Sensor envía el evento a TDR. La heurística de ThreatSync no incluye cambios en los archivos en la Lista Blanca como incidentes o indicadores. ThreatSync asigna a los eventos en la Lista Blanca una puntuación de 0.
Usted agrega un archivo o proceso a la Lista Blanca como una anulación de firma. Para obtener más información, consulte Configurar las Anulaciones de Firmas de TDR
Lista de Exclusiones
Una exclusión identifica una ruta que usted desea que todos los Host Sensors ignoren para los eventos de archivos y procesos. Cuando agrega una exclusión, los Host Sensors ignoran cualquier evento creado por un archivo o un proceso que se origina en el directorio especificado. También puede incluir todos los subdirectorios en la exclusión.
Agregar una Exclusión
Para agregar manualmente una exclusión:
- Inicie sesión en la web UI de TDR como usuario con credenciales de Operador.
- Seleccione Configurar > Exclusión.
- Haga clic en Agregar Exclusión.
Aparece el cuadro de diálogo Agregar Exclusión.
- En el cuadro de texto Ruta, escriba la ruta que desea excluir.
Puede incluir comodines y variables de entorno en la ruta de exclusión. - Para excluir carpetas en el directorio especificado, marque la casilla de selección También excluir subcarpetas.
- Seleccione si desea excluir Archivos y Procesos, Solo Archivos o Solo Procesos.
- (Opcional) En el cuadro de texto Descripción, escriba una nueva descripción para esta exclusión.
- Haga clic en Guardar y Cerrar.
La exclusión se agrega a la lista Exclusiones.
Hacer Copia de Seguridad o Importar Exclusiones
Puede guardar una copia de seguridad de todas las exclusiones en un archivo .XML. Para agregar las exclusiones a cualquier cuenta de TDR, puede importar el archivo .XML guardado. Esto permite que un Proveedor de Servicios de TDR copie fácilmente las exclusiones configuradas en una cuenta de cliente administrada a otra cuenta administrada. Para evitar exclusiones duplicadas, las exclusiones importadas se combinan con la lista de exclusiones existente.
Para guardar las exclusiones en un archivo de copia de seguridad:
- Seleccione Configuración > Exclusión.
Aparece la lista de las exclusiones configuradas actualmente. - Haga clic en Copia de Seguridad.
El archivo de copia de seguridad .XML se guarda en la carpeta de descargas.
El nombre del archivo de copia de seguridad de las exclusiones incluye la fecha y hora actuales. Por ejemplo:
WatchGuardTDR_SensorExclusions_2017-01-25_22-39-43.xml
Para importar exclusiones desde un archivo .XML de exclusiones guardado:
- Haga clic en Importar.
- Seleccione y abra el archivo de copia de seguridad guardado.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Importar.
Las exclusiones del archivo se agregan a la lista Exclusiones.
Editar o Eliminar una Exclusión
Para editar una exclusión:
- En la lista Exclusión, a la izquierda de la exclusión que desea editar, haga clic en
.
Aparece el cuadro de diálogo Editar Exclusión. - Edite la configuración tal como se describe en el procedimiento anterior.
- Haga clic en Guardar y Cerrar.
Para eliminar una exclusión:
- En la lista Exclusión, a la derecha de la exclusión que desea eliminar, haga clic en
. - Seleccione Eliminar Exclusión.
Aparece un mensaje de configuración. - Haga clic en Sí, Eliminar.