Temas Relacionados
En su cuenta de Threat Detection and Response, puede configurar reglas de notificación que permitan a TDR generar notificaciones por correo electrónico sobre contención de hosts, incidentes, indicadores, protección de host o remediación. Las reglas de notificación le facilitan responder a las amenazas emergentes en su red y le informan sobre los cambios en el estado del host y las amenazas que se han remediado.
TDR soporta estos tipos de notificación:
Contención
Envía notificaciones cuando un host se contiene o se libera de la contención
Incidente
Envía notificaciones basadas en la puntuación de amenaza de un incidente
Indicador
Envía notificaciones basadas en la puntuación de amenaza de un indicador
Protección
Envía notificaciones cuando la protección se pausa o se reinicia en un host
Remediación
Envía notificaciones para acciones de remediación exitosas, con base en la puntuación de amenaza original del indicador
Para cada regla de notificación, estos ajustes determinan cuándo se generan las notificaciones y quién las recibe:
- Umbral de Puntuación de Amenazas — Para una regla de notificación de Incidente o Indicador, la puntuación mínima de incidentes o indicadores que activa la notificación
- Umbral de Puntuación de Amenaza Anterior — Para una regla de notificación de Remediación, la puntuación anterior de un indicador que se ha remediado
- Cambios de Contención — Para una regla de notificación de Contención, cambios en el estado de contención del host
- Cambios de Protección — Para una regla de notificación de Protección, cambios en el estado de protección del host
- Hosts o Grupos de Hosts — Hosts y Grupos de Hosts para monitorear esta notificación
- Destinatarios de notificación — Las direcciones de correo electrónico a las que se envía la notificación
Cuando un incidente, indicador, remediación, cambio de contención del host o cambio de protección del host coincide con una regla de notificación configurada, TDR envía automáticamente un correo electrónico de notificación a los destinatarios. El destinatario puede hacer clic en un enlace en el correo electrónico de notificación para ir directamente a una página de TDR que contiene más información.
Ver y Administrar Reglas de Notificación
Para recibir notificaciones por correo electrónico sobre eventos de TDR, agregue reglas de notificación.
Para gestionar las reglas de notificación:
- Inicie sesión en la TDR Web UI como Operador.
- Seleccione Configuración > Reglas de Notificación.
Aparece la página Reglas de Notificación.
- Para buscar reglas de notificación relacionadas con un host o grupo específico, en el cuadro de texto de criterios de búsqueda, ingrese el nombre del host o grupo.
- Para filtrar la lista con base en otras propiedades de la regla, especifique los filtros en los encabezados de columna.
En la página Reglas de notificación, puede agregar, editar y modificar reglas de notificación, y puede hacer copias de seguridad e importar reglas.
Agregar una Regla de Notificación
Para agregar una regla de notificación:
- En la página Reglas de Notificación, haga clic en Agregar Notificación.
- Seleccione el tipo de notificación en la lista desplegable.
Aparecen los ajustes de la regla de notificación.
- En el cuadro de texto Nombre, ingrese un nombre para esta regla.
- En la lista desplegable Idioma, seleccione el idioma del correo electrónico de notificación.
- En el cuadro de texto Comentarios, ingrese una descripción de esta regla.
- Especifique los umbrales o cambios que desea que generen la notificación.
- Para una regla de notificación de Incidente o Indicador, en la lista desplegable Seleccionar un Umbral de Puntuación de Amenaza, seleccione el indicador o la puntuación de amenaza en la que desea enviar una notificación.
TDR envía una notificación para un indicador o incidente con una Puntuación de Amenaza igual o superior al valor que selecciona aquí.
- Para una regla de notificación de Remediación, en la lista desplegable Seleccionar un Umbral de Puntuación de Amenaza Anterior, seleccione la puntuación de amenaza anterior en la que desea enviar una notificación. Esta es la puntuación previa de un indicador antes de que fuera remediado.
- Para una regla de notificación de Contención, marque las casillas de selección junto a los cambios de contención del host que desea que generen una notificación. Puede generar notificaciones cuando se contiene un host y cuando se libera un host de la contención.
- Para una regla de notificación de Protección, marque las casillas de selección junto a los cambios de protección del host que desea que generen una notificación. Puede generar notificaciones cuando la protección está en pausa y cuando la protección se reanuda en un host.
- Para una regla de notificación de Incidente o Indicador, en la lista desplegable Seleccionar un Umbral de Puntuación de Amenaza, seleccione el indicador o la puntuación de amenaza en la que desea enviar una notificación.
- Seleccione el host o grupo de hosts que desea monitorear.
- En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!Para especificar todos los hosts, escriba “Todos los Hosts”. Este es un grupo predeterminado integrado que incluye todos los hosts que tienen instalado un Host Sensor.
Aparecen los nombres de host y nombres de grupos que incluyen los caracteres. - Seleccione el nombre de host o nombre de grupo que desea agregar.
- Para agregar otros hosts o grupos de hosts, repita los dos pasos anteriores.
- En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!Para especificar todos los hosts, escriba “Todos los Hosts”. Este es un grupo predeterminado integrado que incluye todos los hosts que tienen instalado un Host Sensor.
- Para especificar un destinatario de la notificación, en el cuadro de texto Agregar Dirección de Correo Electrónico, ingrese una dirección de correo electrónico válida y haga clic en Agregar.
- Repita el paso anterior para cada destinatario de esta notificación.
- Haga clic en Guardar y Cerrar.
La regla de notificación se agrega a la lista Reglas de Notificación.
Enviar un Correo Electrónico de Notificación de Prueba
Después de agregar una regla de notificación, puede enviar un correo electrónico de notificación de prueba a los destinatarios especificados en la regla.
Para enviar un correo electrónico de prueba para una regla de notificación, en la página Reglas de Notificación:
- Junto a la regla de notificación, haga clic en
. - Seleccione Enviar Correo Electrónico de Prueba.
Hacer Copia de Seguridad o Importar Reglas de Notificación
Puede guardar una copia de seguridad de todas las reglas de notificación en un archivo de copia de seguridad. El archivo de copia de seguridad se guarda en formato de archivo JSON. Para agregar las reglas de notificación a cualquier cuenta de TDR, puede importar el archivo .JSON guardado. Esto permite que un Proveedor de Servicios de TDR copie fácilmente las reglas de notificación configuradas en una cuenta de cliente administrada a otra cuenta administrada. Para evitar reglas de notificación duplicadas, las reglas de notificación importadas se combinan con la lista actual de reglas.
Si el nombre de una regla de notificación en un archivo de copia de seguridad importado coincide con el nombre de una regla existente, la regla importada reemplaza la regla existente.
Para guardar las reglas de notificación en un archivo de copia de seguridad:
- Seleccione Configuración > Reglas de Notificación.
Aparece la lista de las reglas de notificación configuradas actualmente. - Haga clic en Copia de Seguridad.
El archivo de copia de seguridad se guarda en la carpeta de descargas.
El nombre del archivo de copia de seguridad incluye la fecha y hora actuales. Por ejemplo:
WatchGuardTDR_Notifications_2018-01-10_20-02-03.json
Para importar reglas de notificación desde un archivo de copia de seguridad guardado:
- Haga clic en Importar.
- Seleccione y abra el archivo de copia de seguridad guardado.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Importar.
Las reglas de notificación del archivo se agregan a la lista Reglas de Notificación.
Editar, Duplicar o Eliminar una Regla de Notificación
Para editar una regla de notificación, en la página Reglas de Notificación:
- Para expandir los detalles de una regla de notificación, haga clic en
. - Edite los ajustes según se describe en Ver y Administrar Reglas de Notificación.
- Haga clic en Guardar y Cerrar.
Para duplicar una regla de notificación, en la página Reglas de Notificación:
- Junto a la regla de notificación que desea duplicar, haga clic en .
- Seleccione Duplicar Regla de Notificación.
Para eliminar una regla de notificación, en la página Reglas de Notificación:
- Junto a la regla de notificación que desea eliminar, haga clic en .
- Seleccione Eliminar Regla de Notificación.