Contents

Temas Relacionados

Configurar la Contención de TDR

Para evitar la propagación de amenazas en su red, puede contener un host. La contención previene nuevas conexiones de red en un host específico para que las amenazas no puedan propagarse a través de la red. Los hosts contenidos se aíslan y no pueden conectarse a través de la red. Otros dispositivos no pueden conectarse a un host contenido. Para restaurar la conectividad de la red cuando se resuelve la amenaza, el host debe liberarse de la contención.

Hay dos formas de contener y liberar hosts — manual o automáticamente según una política de contención. Para permitir que los hosts sean contenidos manual o automáticamente, la Acción Habilitar la Contención del Host del Kernel debe estar habilitada en la configuración del Host Sensor. Para obtener más información, consulte Configurar los Ajustes del Host Sensor de TDR.

Contener y Liberar Hosts Manualmente

Puede contener y liberar un host manualmente en las páginas de Incidentes, Hosts o Grupos.

Para contener un host manualmente:

  1. Marque la casilla de selección junto al host que desea contener.
  2. Seleccione Acciones > Contener Host.
    Aparece el cuadro de diálogo Confirmar Acción – Contener el Host.
  3. Haga clic en Ejecutar Acción
    El host está contenido y se muestra un icono de contención en la columna Estado del Sensor.

Captura de pantalla de las columnas Estado de Instalación y Estado del Sensor para un host contenido

Para liberar un host manualmente de la contención:

  1. Marque la casilla de selección junto al host que desea liberar.
  2. Seleccione Acciones > Liberar Host.
    Aparece el cuadro de diálogo Confirmar Acción – Liberar el Host.
  3. Haga clic en Ejecutar Acción
    Se libera al host de la contención.

Para obtener más información, consulte Administrar Hosts y Host Sensors de TDR, Administrar los Grupos de TDR, y Administrar los Incidentes de TDR.

Políticas de Contención

Las políticas de contención contienen y liberan hosts automáticamente con base en un umbral de puntuación de amenaza de incidente. Cuando ocurre un incidente con una puntuación de amenaza igual al valor especificado en la política, el host se contiene. Cuando la puntuación de amenaza cae por debajo del umbral especificado, el host se libera de la contención automáticamente.

Su cuenta de TDR incluye una política de contención predeterminada con los ajustes recomendados. Puede editar las políticas de contención predeterminada y configurar políticas adicionales que se apliquen a diferentes hosts y grupos de hosts en diferentes niveles de Cybercon.

Para obtener información acerca de cómo agregar una política de contención, consulte Configurar las Políticas de TDR

Excepciones de Contención

Cuando se contiene un host, solo puede conectarse a sí mismo, a TDR, a servidores DNS y a servidores DHCP. Si desea permitir otro tráfico de red hacia y desde los hosts contenidos, puede agregar excepciones de contención del host. Por ejemplo, es posible que desee permitir que su administrador se conecte a hosts contenidos para solucionar incidentes.

Para definir una excepción de contención, debe especificar dos o más de estos detalles de conexión:

IP local

Dirección IP de un host específico

Puerto Local

Puerto en un host

IP remota

Dirección IP de una máquina remota específica

Puerto Remoto

Puerto en una máquina remota

Por ejemplo, para configurar una excepción de contención para permitir que un administrador se conecte a hosts contenidos, especifique:

  • IP Remota — Dirección IP de la computadora del administrador
  • Puerto Local — Puerto al que el administrador necesita conectarse en los hosts

Agregar Excepciones de Contención

Para agregar una excepción de contención:

  1. Seleccione Configuración > Contención.
    Aparece la página Contención.
  2. Haga clic en Agregar Excepción de Contención.
    Aparece el cuadro de diálogo Agregar Excepción de Contención.

Captura de pantalla del cuadro de diálogo Agregar Excepción de Contención.

  1. En la sección Tipos de Conexión, seleccione el tipo de conexión que desea permitir de la lista desplegable.
    Puede seleccionar IPv4 o IPv6.
  2. Para especificar la conexión de red que desea permitir, ingrese los detalles de la conexión en dos o más de los cuadros de texto IP Local, Puerto Local, IP Remota y Puerto Remoto.
  3. Seleccione los hosts y grupos a los que se aplica la excepción.
    1. En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!Para especificar todos los hosts, escriba “Todos los Hosts”. Este es un grupo predeterminado integrado que incluye todos los hosts que tienen instalado un Host Sensor.
      Aparecen los nombres de host y nombres de grupos que incluyen los caracteres.
    2. Seleccione el nombre de host o nombre de grupo que desea agregar.
    3. Para agregar otros hosts o grupos, repita los dos pasos anteriores.
  4. (Opcional) En el cuadro de texto Comentarios, ingrese otra información sobre la excepción.
  5. Haga clic en Guardar y Cerrar.

Hacer Copia de Seguridad o Importar Excepciones de Contención

Puede guardar una copia de seguridad de todas las excepciones de contención en un archivo .json. Para agregar las excepciones de contención a cualquier cuenta TDR, puede importar el archivo guardado. Esto permite que un Proveedor de Servicios de TDR copie fácilmente las excepciones de contención configuradas en una cuenta de cliente administrada a otra cuenta administrada. Para evitar excepciones duplicadas, las excepciones de contención importadas se combinan con la lista existente de excepciones de contención.

Para guardar excepciones de contención en un archivo de copia de seguridad:

  1. Seleccione Configuración > Contención.
    Aparece la lista de las excepciones de contención configuradas actualmente.
  2. Haga clic en Copia de Seguridad.
    El archivo .json de copia de seguridad se guarda en la carpeta de descargas.

El nombre del archivo de copia de seguridad de las excepciones de contención incluye la fecha y hora actuales. Por ejemplo:

WatchGuardTDR_ContainmentExceptions_2018-09-17_15-11-11.json

Para importar excepciones de contención desde un archivo .json guardado:

  1. Haga clic en Importar.
  2. Seleccione y abra el archivo de copia de seguridad guardado.
    Aparece un cuadro de diálogo de confirmación.
  3. Haga clic en Importar.
    Las excepciones de contención del archivo se agregan a la lista de excepciones de contención.

Editar o Eliminar una Excepción de Contención

Para editar una excepción de contención:

  1. En la lista Contención, a la izquierda de la excepción que desea editar, haga clic en .
  2. Edite la configuración tal como se describe en el procedimiento anterior.
  3. Haga clic en Guardar y Cerrar.

Para eliminar una excepción de contención:

  1. En la lista Contención, a la derecha de la excepción que desea eliminar, haga clic en .
  2. Seleccione Eliminar Excepción de Contención.
    Aparece un mensaje de configuración.
  3. Haga clic en Sí, Eliminar.

Ver también

Administrar Hosts y Host Sensors de TDR

Administrar los Grupos de TDR

Configurar las Políticas de TDR

Configurar los Ajustes del Host Sensor de TDR

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.