Contents

Temas Relacionados

Acerca de Host Ransomware Prevention de TDR

Los Host Sensors de Threat Detection and Response para Windows incluyen Host Ransomware Prevention (HRP), el cual puede identificar y poner en cuarentena los archivos y detener los procesos con el comportamiento malicioso que es característico del ransomware.

Modos HRP

Puede habilitar el Host Ransomware Prevention en uno de dos modos:

  • Detectar — Los Host Sensors encuentran procesos y archivos con características de ransomware y envían informes sobre ellos a su cuenta de Threat Detection and Response para la intervención manual.
  • Prevenir — Los Host Sensors detectan y finalizan automáticamente los procesos, y ponen en cuarentena los archivos con características de ransomware antes de que el ransomware cifre los archivos. Los Host Sensors envían informes sobre esta actividad a su cuenta de Threat Detection and Response como un indicador de que ya está mitigado. Si el Host Sensor no puede completar con éxito la acción Prevenir de HRP, esta información también se envía a su cuenta de TDR para una intervención manual.

Un usuario con credenciales de Administrador puede configurar el modo de Host Ransomware Prevention en la configuración global del Host Sensor. Un usuario con credenciales de Operador puede configurar el modo de Host Ransomware Prevention en la configuración del Host Sensor para un grupo.

Cuando habilita HRP en el modo Detectar o Prevenir, el Host Sensor crea carpetas y archivos de señuelo ocultos en el extremo. Si el usuario elimina los archivos ocultos, el Host Sensor los crea automáticamente la próxima vez que se inicia.

Acciones de HRP y Puntuaciones de Amenazas

Cuando HRP está configurado en el modo Prevención, el Host Sensor intenta tomar acción inmediata para detener y poner en cuarentena el ransomware antes de que pueda ejecutarse y cifrar archivos. Esta acción ocurre inmediatamente, incluso si el Host Sensor no se puede conectar a su cuenta de TDR o a Internet.

La próxima vez que el Host Sensor se conecte a su cuenta de TDR, enviará un informe del evento de HRP e información sobre las acciones que tomó. ThreatSync crea un indicador para el evento HRP y asigna una Puntuación de Amenaza.

En modo Prevenir:

  • Si la acción de remediación del Host Sensor tuvo éxito, al incidente de HRP se le asigna una Puntuación de Amenaza de 1 (Remediada)
  • Si la acción de remediación del Host Sensor no tuvo éxito, al incidente de HRP se le asigna una Puntuación de Amenaza de 10 (Crítica)

En modo Detectar, a todos los incidentes de HRP se les asigna una Puntuación de Amenaza de 7 (Alta).

Indicadores de HRP

Debido a que el ransomware puede crear múltiples procesos, un indicador de HRP puede incluir acciones para detener múltiples procesos, o poner en cuarentena varios archivos relacionados con la amenaza detectada.

Para filtrar la lista Indicador para que muestre solo indicadores de HRP:

  1. Seleccione ThreatSync > Indicadores.
  2. Haga clic en para borrar todos los filtros.
  3. En la parte superior de la columna Indicador, seleccione Host Ransomware Prevention.

Para ver una lista detallada de todas las acciones y archivos relacionados con un indicador HRP:

  1. En la columna Indicador para un indicador de HRP, haga clic en Información Adicional.
    Aparece el cuadro de diálogo Información adicional de Host Ransomware Prevention.

Captura de pantalla del cuadro de diálogo Información adicional de Host Ransomware Prevention

  1. En la sección Host Ransomware Prevention de los detalles de la amenaza, haga clic en Detalles.
    Aparece el cuadro de diálogo de resumen del Comportamiento con una lista de las acciones tomadas para todos los archivos relacionados con el indicador.

Captura de pantalla del cuadro de diálogo de resumen del Comportamiento para un indicador de HRP

  1. Para ver una lista completa de las acciones para el indicador, haga clic en el enlace “aquí” en la parte inferior de la lista.
    Aparece el Registro de Acciones para este indicador.

Para obtener más información sobre la página Indicadores, consulte Administrar los Indicadores de TDR.

Acciones de HRP y Archivos en Cuarentena

El Host Sensor puede poner en cuarentena uno o más archivos como parte de una acción de HRP. Puede ver las acciones de Poner Archivo en Cuarentena en los detalles del indicador HRP, como se describió en la sección anterior.

Para eliminar de cuarentena los archivos relacionados con un indicador HRP, ejecute la acción Retirar HRP de la Cuarentena para el indicador. Para obtener más información, consulte Eliminar un Archivo de Cuarentena

Acciones de HRP y Lista Blanca

Para prevenir el ransomware, el Host Sensor toma acción inmediata para detener el proceso, incluso antes de enviar el MD5 a TDR para su análisis. Esto significa que, si agrega el MD5 de un archivo a la Lista Blanca, el Host Sensor aún puede detener el proceso si se detecta como ransomware.

Si desea que el Host Sensor ignore un archivo, incluso si tiene las características de ransomware, puede agregar una Exclusión para la ubicación de directorio. El Host Sensor recibe la lista de exclusiones cuando se inicia y cuando esta se actualiza. Para obtener más información, consulte Configurar las Exclusiones de TDR.

Ver también

Acerca de las Puntuaciones de Amenaza de TDR

Configurar los Ajustes del Host Sensor de TDR

Administrar los Grupos de TDR

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.