Se aplica a: WatchGuard EPDR, WatchGuard EDR
En los ajustes de Advanced Protection de un perfil de ajustes de estaciones y servidores, configuras las opciones para rastrear la actividad de los programas que se ejecutan en tus equipos, así como detectar y bloquear programas maliciosos.
Las funcionalidades disponibles varían para cada plataforma. Para obtener más información, consulta Advanced Protection para Dispositivos en Plataformas Windows, Linux y macOS
Para configurar los ajustes de Advanced Protection:
- En la barra de navegación superior, selecciona Ajustes.
- En el panel izquierdo, selecciona Estaciones y Servidores.
- Selecciona un perfil de ajustes de seguridad para editarlo, copia un perfil existente o haz clic en Añadir en la esquina superior derecha de la ventana para crear un nuevo perfil.
Se abre la página Añadir Ajustes o Editar Ajustes. - Introduce un Nombre y una Descripción para el perfil según sea necesario.
- Selecciona Advanced Protection.
- Habilita el botón de alternancia de Advanced Protection.
- Configura estos ajustes según sea necesario:
- Haz clic en Guardar.
- Selecciona el perfil y asigna destinatarios según sea necesario.
Para obtener más información, consulta Asignar un Perfil de Ajustes.
Configurar el Comportamiento Operativo
Para configurar el comportamiento operativo, en la sección Comportamiento:
- Para equipos Windows, selecciona un Modo de Operación de la lista.
Para obtener más información sobre los modos de operación, consulta Advanced Protection — Modos de Operación (equipos con Windows).
- Para mostrar un mensaje en una alerta emergente en el equipo del usuario cuando la protección avanzada o las funcionalidades anti-exploit bloquean un archivo, habilita el botón de alternancia Informar Bloqueo a los Usuarios del Equipo.
- (Opcional) Escribe un mensaje personalizado para incluirlo en la alerta.
- Para equipos Linux, en la lista desplegable Detectar Actividad Maliciosa, selecciona la acción que se tomará cuando WatchGuard Endpoint Security detecta actividad maliciosa.
- Auditar — Informa las amenazas detectadas, pero no bloquea el malware.
- Bloquear — Informa y bloquea las amenazas detectadas. Esta es la opción predeterminada.
- No Detectar — El malware no se detecta ni se informa.
Configurar la Protección Anti-Exploit
La protección anti-exploit evita que los programas maliciosos aprovechen las vulnerabilidades conocidas y desconocidas (día cero) en las aplicaciones para obtener acceso a los equipos de la red corporativa. Para obtener más información, consulta Acerca de la Protección Anti-Exploit.
Para detectar y bloquear los ataques exploit de vulnerabilidades y el malware metasploit, puedes habilitar y configurar la protección anti-exploit.
Te recomendamos habilitar la protección anti-exploit gradualmente en equipos con una solución de seguridad de terceros ya instalada para garantizar que funcione correctamente.
Para configurar la protección anti-exploit, en la sección Anti-Exploit:
- Habilita el botón de alternancia Anti-Exploit.
- Para equipos con Windows, selecciona un Modo de Operación de la lista.
- Auditor — Informa detecciones de exploits en la Web UI, pero no toma ninguna acción contra ellas ni muestra información al usuario.
- Bloquear — Bloquea ataques de exploit. En algunos casos, puede ser necesario finalizar el proceso que está en riesgo o reiniciar el equipo. El usuario recibe una notificación del adjunto bloqueado. WatchGuard Endpoint Security cierra automáticamente el proceso que está en riesgo.
- Para notificar a los usuarios cuando la protección anti-exploit bloquea un proceso en riesgo, habilita el botón de alternancia Informar Bloqueo a los Usuarios del Equipo.
El usuario recibe una notificación y el proceso que está en riesgo se cierra automáticamente según sea necesario. - Para solicitar a los usuarios que cierren un proceso que está en riesgo, habilita el botón de alternancia Solicitar Permiso al Usuario para Finalizar un Proceso En Riesgo.
Cada vez que un equipo en riesgo necesita reiniciarse, el usuario debe proporcionar una confirmación, independientemente de si este botón de alternancia está habilitado.
Muchos exploits continúan ejecutando código malicioso hasta que el proceso correspondiente se cierra. Un exploit no aparece como resuelto en el mosaico Actividad de Exploit del dashboard de Seguridad en la Web UI hasta que el programa en riesgo se cierra.
Configurar la Privacidad
WatchGuard Endpoint Security recopila el nombre y la ruta de acceso completa de los archivos que envía a WatchGuard Cloud para su análisis, así como el nombre del usuario que inició sesión. Esta información se utiliza en los informes y las herramientas de análisis forense que se muestran en la Web UI.
Activa los botones de alternancia para habilitar la recopilación de datos, en la sección Privacidad.
Configurar el Uso de la Red
WatchGuard Endpoint Security envía a WatchGuard Cloud todos los archivos ejecutables desconocidos que se encuentran en los equipos de los usuarios para su análisis. Este comportamiento está configurado para que no tenga impacto en el ancho de banda de la red del cliente:
- WatchGuard Endpoint Security solo enviará un máximo de 50 MB por hora y por cliente a WatchGuard Cloud.
- El agente cliente envía cada archivo desconocido una sola vez a todos los clientes que usan WatchGuard Endpoint Security.
- WatchGuard Endpoint Security ha implementado mecanismos de gestión de ancho de banda para evitar el uso intensivo de los recursos de red.
Para configurar el uso de la red, en la sección Uso de la Red:
- En el cuadro de texto Número máximo de MB que se pueden transferir en una hora, introduce la cantidad máxima de MB que se deben transferir entre los equipos y dispositivos en tu red y WatchGuard Cloud.