Temas Relacionados
Análisis de Caja de Arena de TDR por APT Blocker
TDR aprovecha el servicio de APT Blocker para analizar los nuevos archivos sospechosos identificados por un Host Sensor. El servicio APT Blocker de WatchGuard utiliza el análisis de emulación de sistema completo de Lastline para identificar las características y el comportamiento del malware APT en los archivos que ingresan a su red. Los Host Sensors de TDR pueden cargar un archivo sospechoso para su análisis incluso si el host no está conectado a una red protegida por un Firebox. El resultado del Análisis de Caja de Arena es un Nivel de Amenaza APT asignado a un archivo. El motor de análisis de ThreatSync de TDR usa el Nivel de Amenaza de APT para determinar si se aumenta la Puntuación de Amenaza asignada a un indicador.
La caja de arena se encuentra en un centro de datos basado en la nube de Lastline. La caja de arena para su cuenta de TDR se encuentra en la misma región donde se almacenan los datos de su cuenta de TDR. Por ejemplo, si la región de su cuenta de TDR es Europa, la caja de arena también está en Europa.
Habilitar el Análisis de Caja de Arena por APT Blocker
La función de Análisis de Caja de Arena por APT Blocker permite a los Host Sensors cargar archivos para su análisis. Puede elegir habilitar o deshabilitar esta función. Para configurar esta función, debe estar habilitada en su cuenta de TDR.
Para habilitar el Análisis de Caja de Arena por APT Blocker:
- Seleccione Configuración > General.
- Para habilitar la función de Análisis de Caja de Arena por APT Blocker, seleccione la casilla de selección Función Encendida.
- Haga clic en Guardar.
Para obtener más información, consulte Ajustes Generales de TDR.
Acción de Poner Archivo en la Caja de Arena
En TDR, la acción Poner Archivo en la Caja de Arena permite a los Host Sensors cargar los archivos sospechosos para su análisis. Puede configurar una política de Caja de Arena para permitir esta acción, o puede seleccionarla como una acción manual después de que un Host Sensor solicite la acción de Poner Archivo en la Caja de Arena para un archivo.
Si instala Host Sensors detrás de un Firebox que tenga una política de proxy HTTPS con inspección de contenido y validación de certificación habilitadas, podría ser necesario configurar una política de filtrado de paquetes HTTPS para permitir que los Host Sensors carguen archivos para su análisis. Para obtener más información, consulte Configurar las Políticas de Firewall para el Tráfico de TDR.
Un Host Sensor carga un archivo a TDR para su análisis bajo estas condiciones:
- Las heurísticas de proceso o registro indican al Host Sensor que un archivo es sospechoso
- El valor MD5 del archivo no coincide con un archivo analizado previamente
- Una política de Caja de Arena de TDR activa, o una acción manual de TDR especifica la acción Poner Archivo en la Caja de Arena
La acción de Poner Archivo en la Caja de Arena puede demorar hasta 20 minutos. Mientras la acción de Poner Archivo en la Caja de Arena está en curso, ocurren estos eventos:
- El Host Sensor carga el archivo a la nube de TDR
- TDR envía el archivo a una caja de arena regional segura para su análisis
- Lastline ejecuta el archivo y lo analiza en busca de amenazas
- Lastline envía a TDR el resultado del Nivel de Amenaza de APT
- TDR actualiza la Puntuación de Amenaza asociada con el indicador
TDR ajusta las Puntuaciones de Amenaza para los indicadores solo si un Host Sensor solicita un Análisis de Caja de Arena. TDR no ajusta la Puntuación de Amenaza de los indicadores si un Host Sensor no solicitó el Análisis de Caja de Arena, e incluso si otro Host Sensor solicitó el Análisis de Caja de Arena en el mismo archivo.
El Host Sensor no solicita la acción Poner Archivo en la Caja de Arena para los eventos de Host Ransomware Prevention (HRP). Si HRP está habilitado en el modo Prevenir, cuando el Host Sensor detecta ransomware, automáticamente toma acciones para poner el archivo en cuarentena y finalizar el proceso. Para obtener más información, consulte Acerca de Host Ransomware Prevention de TDR.
Niveles de Amenaza de APT y Puntuaciones de Amenaza del Indicador
Cuando el archivo sospechoso se detecta por primera vez, TDR asigna una puntuación del indicador basándose en la heurística, y solicita la acción de Poner Archivo en la Caja de Arena. El Análisis de Caja de Arena por APT Blocker categoriza la actividad de APT basándose en la gravedad de la amenaza. Los Niveles de Amenaza de APT en TDR son los mismos que los Niveles de Amenaza de APT para el APT Blocker en un Firebox.
Los Niveles de Amenaza Alto, Medio y Bajo de APT indican la gravedad del malware. Esta clasificación se determina en base a una puntuación asignada al archivo cuando es analizado por Lastline. Para los Niveles de Amenaza Alto, Medio y Bajo de APT, TDR aumenta la Puntuación de Amenaza del indicador.
El Nivel de Amenaza Limpio de APT indica que se determinó que el archivo está libre de malware. Para el Nivel de Amenaza Limpio de APT, TDR no cambia el Nivel de Amenaza del indicador.
| Nivel de Amenaza de APT | Puntuación de Amenaza de TDR |
|---|---|
| Alta | 9 (Crítico) |
| Media | 8 (Grave) |
| Baja | 7 (Alto) |
| Limpio | Sin cambios |
Usted puede configurar una combinación de políticas de Caja de Arena y políticas de Remediación para permitir que los Host Sensors de TDR analicen y respondan automáticamente a las amenazas emergentes. Para obtener información sobre las políticas recomendadas, consulte Políticas de TDR Recomendadas.
Ver el Estado del Análisis de Caja de Arena
Para ver el estado del Análisis de Caja de Arena por APT Blocker:
- Seleccione ThreatSync > Indicadores.
- Haga clic en
para borrar los filtros. - En el encabezado de columna Acción Solicitada, seleccione la acción de Poner Archivo en la Caja de Arena. Haga clic en Aplicar.
La lista Indicadores se filtra para mostrar solo los indicadores donde el Host Sensor solicitó la acción de Poner Archivo en la Caja de Arena.
- La columna Resultado muestra el estado de la acción Poner Archivo en la Caja de Arena para cada Host Sensor.
- Para ver información adicional de un indicador, en la columna Indicador, haga clic en Información Adicional.
El estado de Análisis de Caja de Arena se muestra en la sección Análisis de Caja de Arena por APT Blocker de los detalles adicionales para un indicador.
- Si el Análisis de Caja de Arena no está completo, el estado de Análisis de Caja de Arena por APT Blocker es Desconocido. Este estado se muestra si la acción Poner Archivo en la Caja de Arena está en curso o si no hay una política para permitir la acción.
- Una vez que se completa el Análisis de Caja de Arena, el estado de Análisis de Caja de Arena por APT Blocker indica el Nivel de Amenaza de APT. Si es apropiado, la puntuación del indicador también se ajusta basándose en el análisis del archivo.
Para obtener más información sobre cómo administrar indicadores en TDR, consulte Administrar los Indicadores de TDR.