Contents

Temas Relacionados

Administrar los Indicadores de TDR

En Threat Detection and Response, indicadores son eventos recibidos de los Host Sensor y Firebox en su red, y son calificados por el motor de análisis de ThreatSync. En la página Indicadores, los Operadores pueden ver todos los indicadores en el sistema, crear rápidamente gráficos de barras y circulares, y completar acciones manuales a través de los hosts.

Ver los Indicadores

En la página Panel de Control en la UI web de TDR, puede ver un resumen de los indicadores, y acceder rápidamente a una vista filtrada de la página Indicadores. Para obtener más información, consulte Panel de Control de TDR. También puede ir directamente a la página Indicadores y ver todos los indicadores.

  1. Seleccione ThreatSync > Indicadores.
    La página Indicadores se muestra con los filtros configurados para mostrar todos los indicadores en las últimas 24 horas con una puntuación de 6 o superior.

Captura de pantalla de la página Indicadores

  1. Seleccione un control en la parte superior de la página para aplicar un filtro a la lista.
    • Para cambiar el rango de fechas, seleccione el rango en la parte superior de la página.
    • Para aplicar un filtro a la lista Indicadores, seleccione los controles en los encabezados de las columnas.
    • Para buscar indicadores, en el cuadro de texto Buscar escriba una palabra o valor para buscar.
      Puede buscar nombres de archivos, valores MD5, dirección IP, nombres DNS y URL.
    • Para borrar todos los filtros, haga clic en .

La lista Indicadores muestra esta información de estado y las acciones solicitadas para cada indicador:

  • Puntuación — La puntuación de amenaza para este indicador.
    Para obtener más información, consulte Acerca de las Puntuaciones de Amenaza de TDR.
  • Fuente — La fuente del indicador: Host Sensor () o Firebox ().
  • Indicador — Una descripción del indicador. Para ver más detalles, haga clic en Información Adicional. Puede aplicar un filtro en esta columna para el tipo de indicador, como se describe en la siguiente sección.
  • Última Vez Visto — La última vez que el indicador se recibió del Host Sensor.
  • Estado del Sensor — El estado del Host Sensor.
    Para obtener más información, consulte Administrar Hosts y Host Sensors de TDR.
  • Host/IP — El nombre de host o la dirección IP del sistema host.
  • Acción Solicitada — La acción recomendada por Threat Detection and Response para un indicador de un Host Sensor.
  • Resultado — Indica la acción de remediación tomada, si la hay. Sin Política significa que no hay una política para tomar acciones en esta amenaza.
  • Usuario — Indica qué usuario completó una acción de remediación. Si Threat Detection and Response completa una acción, el usuario es Sistema.
  • Fecha de Acción — La fecha y la hora en que ocurrió la acción de remediación.
  • Para Investigación Adicional — Contiene enlaces en los que puede hacer clic para buscar el MD5 en Google, VirusTotal y MetaScan.

Tipos de Indicadores

Puede aplicar un filtro a la columna Indicador para ver los indicadores por el tipo de indicador.

Para los indicadores de host () reportados por un Host Sensor, los tipos de indicadores son:Closed
  • Archivo
  • Procesar
  • Registro
  • Host Ransomware Prevention
Para los indicadores de red () reportados por un Firebox, los tipos de indicadores son:Closed
  • Sitios Bloqueados por Botnet
  • Sitios Bloqueados por FQDN
  • Sitios Bloqueados por IP
  • Coincidencia de Preguntas de DNS
  • HTTP Bloqueado por APT
  • HTTP Detectado por APT
  • Mala Reputación de HTTP
  • Categoría de Solicitud de HTTP
  • Virus Encontrado en HTTP
  • SMTP Bloqueado por APT
  • SMPT Detectado por APT
  • Virus Encontrado en SMTP

También puede ver el mensaje de registro completo generado por Firebox para cada evento de red en la página Eventos de Red. Para los indicadores de red, cada indicador corresponde a un tipo de evento diferente. Para obtener más información, consulte Ver Eventos de Red en TDR.

Puntuaciones de Indicadores

El análisis de ThreatSync asigna a cada indicador una puntuación basada en la gravedad de la amenaza. 10 es el nivel de amenaza más alto, y 2 es el más bajo. ThreatSync asigna una puntuación de 1 si un indicador se corrigió con éxito, y una puntuación de 0 si un indicador está en la Lista Blanca.

Para obtener más información sobre las puntuaciones de amenazas de indicadores, consulte Acerca de las Puntuaciones de Amenaza de TDR.

Para obtener más información sobre acciones de remediación y puntuaciones de amenazas, consulte Acciones de Remediación y Puntuaciones de Amenaza de TDR

Acciones

Cada indicador está asociado con un host. Los indicadores pueden estar relacionados con archivos o procesos en un host, ser detectados por un Host Sensor () o eventos de red para tráfico hacia o desde un host, o ser detectados por un Firebox (). Para los indicadores reportados por un Firebox, las acciones de remediación son completadas por el Firebox, basándose en los ajustes de la configuración del Firebox. Por ejemplo, APT Blocker, IPS o Gateway AV podrían bloquear el acceso a un archivo, o WebBlocker podría bloquear el acceso a un sitio web. Para los indicadores reportados por un Host Sensor, la acción de remediación puede ser tomada automáticamente por el Host Sensor, basándose en las políticas de TDR configuradas, o usted puede tomar la acción solicitada para remediar la amenaza de la página Indicadores.

Registro de Acción e Historial de Remediación

Para cada indicador, el Registro de Acción muestra una lista de acciones para ese indicador. Para un indicador remediado, el Registro de Acción también incluye el Historial de Remediación, que muestra la puntuación original del indicador antes de que fuera remediado con éxito

Para ver el Registro de Acción de un indicador

  1. En la página Indicadores, busque el indicador correspondiente.
  2. En la columna Acción Solicitada para el indicador, haga clic en .
  1. Haga clic en Cerrar para cerrar el Registro de acción.

Detalles de Indicadores

Para ver más información sobre un indicador:

  1. Seleccione ThreatSync > Indicadores.
  2. En la columna Indicador, haga clic en Información Adicional.
    Aparece el cuadro de diálogo Información Adicional.

La información adicional que se muestra depende de si la fuente del indicador fue un Host Sensor o un Firebox.

Indicadores de un Host Sensor —

Para un indicador reportado por un Host Sensor, el cuadro de diálogo Información Adicional muestra información sobre cómo el análisis de ThreatSync calculó la puntuación del indicador. Muestra información sobre tres componentes de la puntuación: Fuente de Amenaza, Servicio de Verificación de Malware y Heurística. Se resalta el estado de cada indicador.

Opciones de estado de Fuente de Amenaza:

  • No Coincidencia — El archivo o proceso no es igual a nada en la Fuente de Amenaza
  • Coincidencia — El archivo o proceso es igual a algo en la Fuente de Amenaza

Opciones de Estado del Servicio de Verificación de Malware (MVS):

  • Benigno — MVS identificó que el archivo o proceso no es una amenaza
  • No Visto — MVS no tiene información sobre el archivo o proceso
  • Potencial — MVS identificó que el archivo o proceso es una amenaza potencial
  • Malicioso — MVS identificó que el archivo o proceso es una amenaza conocida

Opciones de estado de Heurística:

  • Por Debajo del Umbral — El comportamiento observado de este archivo o proceso no se reconoce como sospechoso
  • Sospechoso — El comportamiento observado de este archivo o proceso es sospechoso.

Para obtener más información sobre el evento sospechoso, haga clic en Detalles.

Si el hash para este indicador se encontró en otros hosts, la esquina superior derecha del cuadro de diálogo Información Adicional muestra el número de otros Host Sensors que identificaron este indicador. Para ver una lista de todos los hosts que identifican este indicador, haga clic en Hash encontrado en otro(s) host(s).

Si el Host Sensor solicita la acción Poner Archivo en la Caja de Arena, el cuadro de diálogo Información Adicional también incluye información sobre el estado de Análisis de Caja de Arena por parte de APT Blocker.

Para obtener más información, consulte Análisis de Caja de Arena de TDR por APT Blocker.

Indicadores de un Firebox —

Para un indicador reportado por un Firebox, el cuadro de diálogo Información Adicional muestra información sobre la amenaza reportada por el Firebox.

Puede ver más detalles sobre los eventos de red identificados por un Firebox en la página Eventos de Red. Para obtener más información, consulte Ver Eventos de Red en TDR.

Investigación Adicional

Para investigar más a fondo un indicador, puede buscar el valor MD5 del indicador en Google, VirusTotal o MetaScan.

Para buscar el valor MD5 para un indicador, en la Columna Para Investigación Adicional, haga clic en uno de estos enlaces:

  • Buscar MD5 en Google
  • Buscar MD5 en VirusTotal
  • Buscar MD5 en MetaScan

Crear y Exportar Gráficos de Indicadores

Puede ver los indicadores como un gráfico de barras, gráfico circular o gráfico de series temporales apiladas. Puede exportar la gráfica a un archivo .PNG, .JPB, .GIF o .PDF.

Para crear un gráfico:

  1. Haga clic en el tipo de gráfico que desea generar:
    • — Gráfico de Barras
    • — Gráfico Circular
    • — Gráfico de Barras Apiladas

Aparece el gráfico seleccionado

  1. Para cambiar el rango de fechas que se muestra en el gráfico, seleccione un rango de fechas en la parte superior.
  2. En la lista desplegable Agrupar Por, seleccione cómo agrupar los datos en el gráfico.
  3. En la lista desplegable Mostrar, seleccione cuántos indicadores mostrar en el gráfico.
  4. Para exportar el gráfico, haga clic en y seleccione el formato del archivo de exportación: .PNG, .JPG, .GIF o .PDF.
    El archivo se descarga en el formato seleccionado.

Ejecutar una Acción Manual

Puede seleccionar manualmente acciones para remediar indicadores. La columna Acción Solicitada muestra la acción recomendada para remediar un indicador reportado por un Host Sensor. Cuando toma la acción solicitada, esto se clasifica como una remediación Manual en el widget Remediaciones en la página Panel de Control de TDR.

La lista desplegable Acciones le indica a cuántos de los indicadores seleccionados se puede aplicar cada acción. Puede seleccionar una de estas acciones:

Remediada Externamente

Seleccione esta acción si ha remediado la amenaza en el sistema mismo. Por ejemplo, si manualmente ha eliminado el archivo o finalizado el proceso especificado en el indicador.

Puesto en la Lista Blanca

Seleccione esta acción para agregar este indicador a la Lista Blanca como un archivo o proceso seguro conocido. Cuando selecciona esta acción, se crea una anulación de firma de la lista blanca con el MD5 del indicador. Para obtener más información sobre la Lista Blanca, consulte Configurar las Anulaciones de Firmas de TDR

Detener Proceso

Seleccione esta acción para que el Host Sensor finalice el proceso especificado en el indicador. Esta acción se aplica a los indicadores Coincidencia de URL, Proceso o Host Ransomware Prevention. Una vez que el Host Sensor identifica el puerto de comunicación, el Host Sensor finaliza el proceso que admite la comunicación al puerto de la red.

Poner Archivo en Cuarentena

Seleccione esta acción para que el Host Sensor ponga en cuarentena el archivo especificado en el indicador. Esta acción usa XOR para cifrar el contenido de un archivo para que el archivo no sea ejecutable. El archivo en cuarentena permanece en el host por el número de días especificado en la configuración Antigüedad Desactivada para Archivos en Cuarentena. Para obtener más información, consulte Configurar la Antigüedad Desactivada para Archivos en Cuarentena.

Si el Host Sensor pone un archivo en cuarentena, y luego usted decide que el archivo no es una amenaza, puede ir a la página Incidentes para retirar el archivo de la cuarentena. Para obtener más información, consulte Eliminar un Archivo de Cuarentena.

Eliminar el Valor de Registro

Seleccione esta acción para que el Host Sensor elimine el valor del registro para el archivo o el proceso especificados en el indicador. Esta acción elimina el valor de registro que hace referencia a un archivo malicioso.

Archivo de Caja de Arena

Seleccione esta acción para que el Host Sensor cargue el archivo sospechoso a la caja de arena para su análisis. Para obtener más información, consulte Análisis de Caja de Arena de TDR por APT Blocker.

Las acciones Detener Proceso, Poner Archivo en Cuarentena, Eliminar Valor de Registro y Poner Archivo en la Caja de Arena son las mismas acciones que puede configurar en una política. Cuando selecciona estas acciones en las páginas Indicadores o Incidentes, estas acciones se clasifican como acciones manuales.

Para los indicadores con una acción de Poner Archivo en Cuarentena completada con éxito, también puede seleccionar una acción para retirar el archivo de la cuarentena. Para obtener más información, consulte Eliminar un Archivo de Cuarentena.

Para ejecutar una acción manual:

  1. Seleccione la casilla de selección para uno o más indicadores.
  2. En la lista desplegable Acciones, seleccione la acción que desea completar.
    Aparece un cuadro de diálogo de confirmación, con una lista de los indicadores a los que se aplica la acción seleccionada.
  1. Haga clic en Ejecutar Acción.

Después de que el Host Sensor ejecuta con éxito una acción de remediación, la puntuación del indicador se reduce a 1 y la columna Resultado en la página Indicadores muestra que la acción tuvo éxito.

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.