Se aplica a: WatchGuard EPDR, WatchGuard EDR
En el dashboard Indicadores de Ataque, el mosaico Threat Hunting Services muestra cuando los equipos están en el modo de Contención de Ataques RDP. El modo de Contención de Ataques RDP protege contra situaciones en las que un hacker obtiene acceso a la red de TI a través de un equipo vulnerable, luego busca lateralmente otros dispositivos desprotegidos y usa RDP para moverse de un dispositivo a otro.
WatchGuard Endpoint Security monitoriza los intentos de conectarse a un equipo en la red de TI a través del servicio RDP. Cuando numerosos intentos fallidos se originan en una sola dirección IP, WatchGuard Endpoint Security habilita el modo de Contención de Ataques RDP en el equipo afectado.
Modo de Contención de Ataques RDP Inicial
Cuando un equipo recibe una gran cantidad de intentos de conexión RDP que fallan debido a credenciales no válidas, WatchGuard Endpoint Security genera un IOA de Ataque de fuerza bruta contra RDP y pone el equipo en modo de contención de ataques RDP Inicial.
En este modo, el acceso RDP al equipo está bloqueado desde las IP fuera de la red del cliente que han enviado un gran número de intentos de conexión durante las últimas 24 horas.
Si no deseas bloquear las conexiones de direcciones IP permitidas específicas, puedes añadir esas IP a la lista de permitidos. Para obtener más información, consulta Configurar los Ajustes de Ataque RDP.
Modo de Contención de Ataque RDP Restrictivo
Cuando el atacante puede iniciar sesión correctamente en una cuenta que falló anteriormente debido a credenciales no válidas, el equipo en el modo de Contención de Ataques RDP Inicial pasa al modo de Contención de Ataque RDP Restrictivo.
WatchGuard Endpoint Security genera un IOA de Credenciales en riesgo después de un ataque de fuerza bruta en RDP, y se considera que la cuenta está en riesgo. Todas las conexiones RDP externas que han intentado conectarse al menos una vez con el equipo de destino en las últimas 24 horas se bloquean.
Para abrir una lista de equipos en el modo de Contención de Ataques RDP:
- En el dashboard de Estado > Indicadores de Ataque, haz clic en Ver Todo en el mosaico Threat Hunting Services.
La lista Estado de Protección del Equipo se abre filtrada para mostrar los equipos con el modo de Contención de Ataques RDP habilitado.
En la lista Estado de Protección del Equipo, un icono de RDP 
rojo indica que el modo de Contención de Ataques RDP está habilitado. El icono de RDP parpadea en naranja hasta que WatchGuard Endpoint Security deshabilita el modo de Contención de Ataques RDP.
Finalizar el Modo de Contención de Ataques RDP
Veinticuatro horas después de que comience el modo de contención, WatchGuard Endpoint Security evalúa la cantidad de intentos de conexión a través de RDP. Si está por debajo del umbral predeterminado, WatchGuard Endpoint Security finaliza automáticamente el modo de Contención de Ataques RDP. Si los intentos continúan, el modo de contención continúa durante otras 24 horas.
Cuando consideres que la red es segura y ya no existe el peligro de un ataque RDP, puedes finalizar manualmente el modo de Contención de Ataques RDP para un equipo en la página de detalles del equipo o el menú de opciones en la lista de equipos. Cuando finalizas manualmente el modo de contención:
- Se liberan todas las IP registradas y bloqueadas en el equipo
- El equipo permite conexiones RDP
Si WatchGuard Endpoint Security finaliza automáticamente el modo de contención, no libera las direcciones IP y continúa bloqueándolas.
Para finalizar el modo de Contención de Ataques RDP en la página de detalles del equipo:
- Selecciona un equipo de la lista.
Se abre la página Detalles del Equipo. El cuadro de notificación muestra que el equipo está en modo de Contención de Ataques RDP. - Para desactivar el modo, haz clic en Finalizar el Modo de Contención de Ataques RDP.
Para finalizar el modo de Contención de Ataques RDP en la lista de Equipos:
- En la barra de navegación principal, selecciona Equipos.
- En la pestaña Mi Organización, selecciona el grupo que contiene el equipo para el que deseas finalizar el modo de Contención de Ataques RDP.
- En la página Equipos, en la fila de un equipo que está en modo de Contención de Ataques RDP, haz clic en el menú de opciones
.
Los equipos con Windows en el modo de Contención de Ataques RDP tienen un icono RDP rojo junto a la dirección IP. - En el menú de opciones, selecciona Finalizar el Modo de Contención de Ataques RDP.
El icono de RDP parpadea en naranja hasta que WatchGuard Endpoint Security deshabilita el modo de Contención de Ataques RDP.
Estado de Contención del Equipo
Cuando finalizas el modo de Contención de Ataques RDP, WatchGuard Endpoint Security envía inmediatamente el comando a todos los equipos destinatarios. Cuando el dispositivo es accesible y tiene habilitada la comunicación en tiempo real, la acción se ejecuta inmediatamente.
Si WatchGuard Endpoint Security no puede comunicarse con el equipo, el equipo continúa en modo de contención. WatchGuard Endpoint Security envía el comando nuevamente cada 4 horas durante los próximos 7 días. Si la acción no puede completarse, la Web UI muestra el estado del equipo en el modo de Contención de Ataques RDP.