Contents

Temas Relacionados

Eliminar un Archivo de Cuarentena

El Host Sensor de TDR puede poner un archivo en cuarentena cuando realiza la acción de Poner Archivo en Cuarentena, o como parte de una acción de Host Ransomware Prevention (HRP). Cuando el Host Sensor pone un archivo en cuarentena, cifra el archivo y lo almacena localmente en el host.

Directorio de cuarentena del Host Sensor de Windows:

c:\Program Files (x86)\WatchGuard\Threat Detection and Response\quarantine

Directorio de cuarentena del Host Sensor de Mac:

/usr/local/watchguard/tdr/quarantine

Directorio de cuarentena del Host Sensor de Linux:

/opt/watchguard/tdr/quarantine

El archivo cifrado permanece en el directorio de cuarentena en el host por el número de días especificado en la configuración Antigüedad Desactivada para Archivos en Cuarentena. Para obtener más información, consulte Configurar la Antigüedad Desactivada para Archivos en Cuarentena

Si decide que un archivo en cuarentena no es una amenaza, puede retirarlo de la cuarentena por hasta 30 días, siempre y cuando el archivo en cuarentena permanezca en el host.

Después de 30 días, no puede deshacer la acción de cuarentena, incluso si el archivo en cuarentena permanece en el host. Esto se debe a que los incidentes se eliminan automáticamente del sistema después de 30 días.

La acción para retirar un archivo de la cuarentena depende de si el Host Sensor puso el archivo en cuarentena como una acción de archivo de Poner Archivo en Cuarentena o como una acción de prevención de Host Ransomware Prevention (HRP). Puede seleccionar la acción para retirar un archivo de la cuarentena de la página Remediaciones, la página Indicadores o la página Incidentes.

Cuando retira un archivo de la Cuarentena, este se agrega automáticamente a la Lista Blanca.

Retirar un Archivo de la Cuarentena de la Página Remediaciones

Para encontrar el indicador y retirar un archivo de la cuarentena:

  1. Inicie sesión en TDR como usuario con credenciales de Operador.
  2. Seleccione ThreatSync > Indicadores.
  3. En la columna Acción Solicitada, configure el filtro para mostrar solo la acción Poner Archivo en Cuarentena.
  4. En la columna Fecha de Remediado, seleccione el rango de fechas para el período en que el archivo se puso en cuarentena.
  5. En el cuadro de texto Criterio de búsqueda, escriba el nombre del host.
  6. Busque el indicador del archivo que desea retirar de la cuarentena.
  7. Marque la casilla de selección junto al indicador. Puede seleccionar más de un indicador.
  8. Para retirar el archivo de la cuarentena para los indicadores seleccionados, en la lista desplegable Acciones, seleccione la acción disponible. La acción que puede elegir depende de si el archivo fue puesto en cuarentena como resultado de una acción de HRP o como una acción de Poner Archivo en Cuarentena.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de HRP, seleccione Retirar HRP de la Cuarentena.
      Esta acción retira de la cuarentena todos los archivos relacionados con esta acción HRP en el host, y agrega los archivos a la Lista Blanca.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de Poner Archivo en Cuarentena, seleccione Retirar Archivo de la Cuarentena.
      Esta acción retira de la cuarentena el archivo en este indicador en el host, y agrega el archivo a la Lista Blanca.
  9. Haga clic en Ejecutar Acción.
    TDR envía un mensaje al Host Sensor para retirar el archivo de la cuarentena.

Retirar un Archivo de la Cuarentena de la Página Indicadores

Para encontrar el indicador y retirar un archivo de la cuarentena:

  1. Inicie sesión en TDR como usuario con credenciales de Operador.
  2. Seleccione ThreatSync > Indicadores.
  3. Para borrar los filtros predeterminados, haga clic en .
  4. En la columna Última Vez Visto, seleccione el rango de fechas para el período de tiempo en que el archivo se puso en cuarentena.
  5. En la columna Acción Solicitada, configure el filtro para mostrar solo la acción Poner Archivo en Cuarentena.
  6. En la columna Resultado, configure el filtro para mostrar solo las acciones Exitoso.
  7. En el cuadro de texto Criterio de búsqueda, escriba el nombre del host.
  8. Busque el indicador del archivo que desea retirar de la cuarentena.
  9. Marque la casilla de selección junto al indicador. Puede seleccionar más de un indicador.
  10. Para retirar el archivo de la cuarentena para los indicadores seleccionados, en la lista desplegable Acciones, seleccione la acción disponible. La acción que puede elegir depende de si el archivo fue puesto en cuarentena como resultado de una acción de HRP o como una acción de Poner Archivo en Cuarentena.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de HRP, seleccione Retirar HRP de la Cuarentena.
      Esta acción retira de la cuarentena todos los archivos relacionados con esta acción HRP en el host, y agrega los archivos a la Lista Blanca.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de Poner Archivo en Cuarentena, seleccione Retirar Archivo de la Cuarentena.
      Esta acción retira de la cuarentena el archivo en este indicador en el host, y agrega el archivo a la Lista Blanca.
  11. Haga clic en Ejecutar Acción.
    TDR envía un mensaje al Host Sensor para retirar el archivo de la cuarentena.

Retirar un Archivo de la Cuarentena de la Página Incidentes

Para encontrar el indicador y retirar un archivo de la cuarentena:

  1. Inicie sesión en TDR como usuario con credenciales de Operador.
  2. Seleccione ThreatSync > Incidentes.
  3. Seleccione el intervalo de fechas para el período de tiempo en que el archivo fue puesto en cuarentena.
  4. En el cuadro de texto Criterio de búsqueda, escriba el nombre de host.
  5. Para ver incidentes con cualquier puntuación, haga clic en .
    El filtro de puntuación predeterminado se borra.
  6. Para expandir los detalles del incidente, haga clic en .
    Aparece la lista de indicadores para el host.

Captura de pantalla de un indicador expandido con un archivo en cuarentena

  1. En la lista de indicadores del incidente, en la parte superior de la columna Puntuación, configure el filtro para mostrar solo incidentes con una puntuación de 1. Haga clic en Aplicar.
    Aparecen los indicadores para las acciones completadas con éxito.
  2. Busque el indicador para el archivo puesto en cuarentena con éxito.
  3. En la columna Acciones Manuales, haga clic en Seleccionar Acción.
    Aparece el cuadro de diálogo Acciones Manuales.

Captura de pantalla del cuadro de diálogo Acciones Guiadas por Máquina para un archivo en cuarentena

El cuadro de diálogo Acciones Manuales para un indicador de Poner Archivo en Cuarentena incluye una casilla de selección de Deshacer.

Captura de pantalla del cuadro de diálogo Acciones Manuales con la acción de Retirar Archivo de la Cuarentena de HRP seleccionada

El cuadro de diálogo Acciones Manuales para un indicador HRP incluye una casilla de selección de Retirar Archivo de la Cuarentena de HRP.

  1. En el cuadro de diálogo Acciones Manuales, puede seleccionar estas acciones:
    • Para retirar un archivo de la cuarentena, marque la casilla de selección Deshacer para ese archivo.
      Esta opción retira de la cuarentena el archivo especificado en este indicador del host, y agrega el archivo a la Lista Blanca.
    • Para un indicador de Host Ransomware Prevention, si desea retirar de la cuarentena todos los archivos en cuarentena incluidos en este indicador, marque la casilla de selección Retirar HRP de la Cuarentena.
      Esta opción retira de la cuarentena todos los archivos relacionados con la acción HR, y los agrega a la Lista Blanca.
  2. Para ejecutar las acciones seleccionadas, haga clic en Ejecutar las Acciones Seleccionadas.
    TDR envía un mensaje al Host Sensor para retirar el archivo de la cuarentena.
  3. Haga clic en Cerrar.

Después de ejecutar la acción para retirar un archivo de la cuarentena, la columna Acción Solicitada / Resultado muestra la acción Retirar Archivo de la Cuarentena y el resultado En Curso. Después de que el archivo ha sido retirado de la cuarentena, el resultado cambia a Exitoso.

Cuando ejecuta una acción para retirar un archivo de la cuarentena, el valor MD5 para ese archivo se agrega automáticamente a la Lista Blanca como anulación de la firma. Si la acción de cuarentena falla porque el archivo ya no existe en el host, el valor MF5 para ese archivo aún se agrega a la Lista Blanca. Para obtener más información sobre de la Lista Blanca, consulte Configurar las Anulaciones de Firmas de TDR.

Ver también

Administrar los Indicadores de TDR

Acerca de las Puntuaciones de Amenaza de TDR

Acciones de Remediación y Puntuaciones de Amenaza de TDR

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.