Evaluación de Riesgos de los Endpoints de WatchGuard

Aplica A: WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR. y WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR.

La Evaluación de Riesgos de los Endpoints de WatchGuard le permite evaluar la postura de ciberseguridad de sus cuentas administradas que utilizan una solución de seguridad de endpoints de terceros. La Evaluación de Riesgos de los Endpoints es no intrusiva y le permite identificar amenazas, vulnerabilidades y otros riesgos de seguridad. Después del período de evaluación, puede programar un informe detallado que proporcione información sobre el perfil de riesgo de la cuenta, recomendaciones sobre cómo reducir la superficie de ataque, así como mejoras generales de la postura de seguridad.

El informe Evaluación de Riesgos de los Endpoints incluye resúmenes gráficos de:

• Riesgos
• Estado de riesgos de Endpoint
• Evaluación del Servicio Zero-Trust Application Service
• Evaluación del Servicio Threat Hunting

La sección Detalles y Recomendaciones de Evaluación incluye información detallada sobre estos riesgos de seguridad:

• Malware, PUPs, exploits, ataques de red, indicadores o ataques detectados
• Vulnerabilidades detectadas activamente explotadas
• Vulnerabilidades críticas e importantes detectadas
• Software End-of-Life detectado
• Aplicaciones con alto volumen de carga y descarga
• Aplicaciones de Vivir de la Tierra ejecutadas

¿Por Qué Activar una Evaluación de Riesgos de los Endpoints?

La Evaluación de Riesgos de los Endpoints es una herramienta para que los Service Providers aporten un valor añadido a sus clientes mediante una evaluación de la ciberseguridad de la red del cliente. Puede utilizar la evaluación de riesgos para mostrar los beneficios de la tecnología y los productos de WatchGuard Endpoint Security a un cliente que desee asegurarse de que está totalmente protegido frente a las amenazas de seguridad.

La Evaluación de Riesgos de los Endpoints se centra en un enfoque de zero-trust para ayudar al cliente a crear un entorno informático de confianza. Proporciona visibilidad de las aplicaciones instaladas en el entorno del cliente y de qué aplicaciones consumen más ancho de banda. También proporciona visibilidad de las aplicaciones de vivir de la tierra que los actores maliciosos utilizan comúnmente para introducir malware en las redes.

La evaluación de riesgos es transparente para el cliente. En sus endpoints, el cliente no ve las alertas en las computadoras o el ícono de WatchGuard Endpoint Security en la bandeja del sistema de Windows. Las actualizaciones automáticas de la protección están desactivadas para asegurarse de que el cliente no tenga que reiniciar el endpoint para una actualización de protección.

Si el cliente no activa una licencia para WatchGuard Endpoint Security, aún puede aplicar la mayoría de las recomendaciones del informe. No se requiere hardware o herramientas de prueba adicionales.

Requisitos y Limitaciones

La Evaluación de Riesgos de los Endpoints está disponible en WatchGuard Cloud para partners y clientes con una versión de prueba de WatchGuard EPDR o WatchGuard Advanced EPDR. No está disponible para partners o clientes con una licencia de producto Endpoint Security existente. Si el socio o cliente tiene una licencia de Firebox Total Security Suite con EDR Core, pero no ha instalado EDR Core en ningún endpoint, puede iniciar una prueba y activar la Evaluación de Riesgos de Endpoints.

También le recomendamos que inicie una prueba simultánea de WatchGuard Advanced Reporting Tool para obtener mayor visibilidad. Advanced Reporting Tool proporciona información avanzada que utiliza la evaluación, como información general de todas las aplicaciones utilizadas, capacidades de búsqueda y seguimiento de las licencias Microsoft Office activas en ese momento.

La Evaluación de Riesgos de los Endpoints se aplica únicamente a los endpoints en plataformas Windows, Linux y macOS. Los endpoints Android e iOS no entran en el ámbito del informe.

Antes de Empezar

Cuando se inicia la evaluación de riesgos, los nuevos ajustes se aplican automáticamente al grupo Todos. No obstante, cualquier grupo de cuentas que incluya los ajustes de la UI de administración de Endpoint Security multiinquilino no recibe los ajustes de la evaluación de riesgos. Para obtener información sobre los ajustes en la UI de administración multiinquilino, vaya a Administración Multiinquilino de los Perfiles de Ajustes.

Si utiliza la UI de administración multiinquilino para asignar ajustes, asegúrese de que no tenga los ajustes aplicados a las cuentas que desea incluir en la evaluación. Recomendamos que cree un grupo de cuentas llamado Evaluación de Riesgos para utilizar la evaluación y no asignar ajustes a este grupo desde la UI de administración multiinquilino. Para más información sobre los grupos de cuentas, vaya a Administrar Grupos de Cuentas. Si agrega nuevas cuentas para incluir en la evaluación, asegúrese de incluirlas en el grupo Evaluación de Riesgos.

Comenzar con la Evaluación de Riesgos de los Endpoints de WatchGuard

Complete estos pasos:

1. Iniciar una Prueba y Activar la Evaluación de Riesgos en Su Cuenta.

2. Instalar Endpoint Security en Sus Endpoints

3. Revisar el Informe de Evaluación de Riesgos de Endpoints

1. Iniciar una Prueba y Activar la Evaluación de Riesgos en Su Cuenta.

Puede activar la Evaluación de Riesgos de Endpoints en cuentas de WatchGuard Cloud que no tengan una licencia del producto WatchGuard Endpoint Security.

Las cuentas Subscriber con endpoints a los que se ha asignado EDR Core (disponible con el Firebox Total Security Suite), pero que no tienen EDR Core instalado en ningún endpoint, también pueden iniciar una prueba y activar la evaluación de riesgos.

Para iniciar una prueba y activar la evaluación de riesgos:

1. Inicie sesión en WatchGuard Cloud.
2. En Administrador de Cuentas, seleccione Descripción General.
3. Inicie una prueba de Advanced EPDR o EPDR.
   
   1. Seleccione Administración > Pruebas.
   2. Seleccione la pestaña Endpoints.
   3. En la columna Nombre de la Cuenta, junto a la cuenta para la que desea iniciar la evaluación, active el interruptor de prueba.
      Se abre el cuadro de diálogo Añadir Prueba.
   4. En la lista Producto, seleccione Advanced EPDR o EPDR.
   5. (Opcional) En la lista de módulos, seleccione la casilla Advanced Reporting Tool.
      Advanced Reporting Tool proporciona información avanzada que utiliza la evaluación, como información general de todas las aplicaciones utilizadas, capacidades de búsqueda y seguimiento de las licencias Microsoft Office activas en ese momento.
   6. Haga clic en Añadir.
      La versión de prueba puede tardar hasta dos minutos en estar disponible en WatchGuard Cloud.
4. Seleccione Monitorizar > Endpoints.
   Se abre el panel de control Seguridad en la página Configuración.

5. Haga clic en Activar.
   Se abre el cuadro de diálogo de confirmación.

6. Haga clic en Activar.

2. Instalar Endpoint Security en Sus Endpoints

Después de iniciar una prueba y activar la evaluación de riesgos, implemente el producto WatchGuard Endpoint Security en sus endpoints. Cuantos más endpoints instale en Endpoint Security, más amplia será la evaluación de riesgos. Recomendamos que instale Endpoint Security en los endpoints que son más vulnerables a amenazas, como las computadoras portátiles. Para obtener información sobre cómo planificar la implementación de WatchGuard Endpoint Security en su red, vaya a Plan de Instalación de Endpoint Security.

La primera computadora con Windows que agregue a WatchGuard Endpoint Security se designa automáticamente como la computadora de descubrimiento. La computadora descubridora encuentra otras computadoras en la red sin el Agente de WatchGuard instalado. Utilice la Lista de Equipos No Administrados Descubiertos para buscar computadoras en la red en las que pueda implementar el Agente de WatchGuard. Para más información, vaya a Lista Equipos No Administrados Descubiertos .

Puede instalar el software del endpoint de forma remota en computadoras con Windows. Para más información, vaya a Instalar el Software del Endpoint de Forma Remota (Computadoras con Windows).

La instalación solo toma unos minutos. Al instalar el software en el endpoint, el ícono de Endpoint Security no se muestra en la bandeja de notificación y las alertas en las computadoras están desactivadas. Esto sucede porque se aplicaron los ajustes de evaluación de riesgos al grupo Todos y se implementaron en los endpoints.

Antivirus de Terceros y Productos EDR

WatchGuard Endpoint Security y la Evaluación de Riesgos de Endpoints son compatibles con antivirus de terceros y productos EDR. La Evaluación de Riesgos de Endpoints se instala sobre los productos antivirus y EDR de terceros existentes para inspeccionar los endpoints en busca de malware activo y latente, vulnerabilidades y otros riesgos de seguridad.

Para más información, revise este artículo de la Base de Consulta: ¿Los productos de Endpoint Security son compatibles con soluciones antivirus y EDR de terceros?

3. Revisar el Informe de Evaluación de Riesgos de Endpoints

Puede previsualizar el informe de Evaluación de Riesgos de Endpoints en cualquier momento. O bien puede programar el envío del informe al final del período de evaluación. El informe destaca los diferentes tipos de riesgos de seguridad descubiertos en el período de evaluación. El informe clasifica los riesgos según la gravedad:

• Crítico — Indica que se ha ejecutado malware confirmado o indica un nivel peligroso de exposición a un ciberataque.
• Alto — Indica que se ha encontrado malware latente que podría ejecutarse en cualquier momento o indica la necesidad urgente de reducir la superficie de ataque.
• Medio — Indica que se han encontrado factores de riesgo adicionales que deben abordarse de manera preventiva.

El informe incluye únicamente los endpoints Windows, Linux y Mac con una licencia de prueba WatchGuard Advanced EPDR o EPDR.

Para recibir únicamente el informe de evaluación final y no alertas por correo electrónico cada vez que Endpoint Security encuentre una amenaza, puede desactivar las alertas por correo electrónico para el grupo Evaluación de Riesgos. Para más información, vaya a Acerca de las Alertas.

Previsualizar el Informe

Para previsualizar el informe desde WatchGuard Cloud:

1. En el Administrador de Cuentas, seleccione la cuenta en la que activó la evaluación de riesgos.
2. Seleccione Monitorizar > Endpoints.
3. En la página Estado, seleccione Informes Programados.
4. Haga clic en Añadir Informe Programado.

5. Haga clic en Previsualizar Informe.
   El informe se abre en una nueva pestaña del navegador.

Programar el Informe

Programe el informe de Evaluación de Riesgos si desea recibirlo por correo electrónico en forma diaria, semanal o mensual en días específicos y en horarios específicos. Para redes más pequeñas (1 a 50 endpoints), recomendamos que programe el informe para que se ejecute 2 semanas después de iniciar la evaluación. Para redes más grandes, recomendamos que programe el informe para que se ejecute 4 semanas después de iniciar la evaluación. El período de prueba de Endpoint Security es de 30 días, pero se puede extender una vez hasta 60 días. Las redes más grandes pueden requerir un período de evaluación más prolongado. Comuníquese con su representante de WatchGuard.

Para programar el informe de Evaluación de Riesgos, desde WatchGuard Cloud:

1. En el Administrador de Cuentas, seleccione la cuenta en la que activó la evaluación de riesgos.
2. Seleccione Monitorizar > Endpoints.
3. En la página Estado, seleccione Informes Programados.
4. Haga clic en Añadir Informe Programado.
5. En el cuadro de texto Nombre, ingrese un nombre para el informe programado.
6. En la sección Enviar Automáticamente, seleccione la frecuencia y la hora para el informe programado. El interruptor Enviar Automáticamente está habilitado de forma predeterminada.

7. En el cuadro de texto Para, escriba las direcciones de correo electrónico para recibir los informes, separadas por comas.
8. En los cuadros de texto CC y CCO, escriba las direcciones de correo electrónico que desee copiar, separadas por comas.
9. En el cuadro de texto Asunto, escriba un asunto para su correo electrónico (por ejemplo, Informe Evaluación de Riesgos de los Endpoints).
10. Para especificar el Formato del informe, en la lista desplegable, seleccione PDF o Word.
11. Haga clic en Añadir.

Desactivar la Evaluación de Riesgos

Puede desactivar la evaluación de riesgos en cualquier momento. Al activar la evaluación, se activa el modo Auditoría para detectar el malware y otras brechas de seguridad. Mientras está en Modo Auditoría, Endpoint Security no bloquea ni elimina amenazas. Puede desactivar la evaluación de riesgos y luego desactivar el modo Auditoría para activar Endpoint Security de modo que bloquee y elimine las amenazas encontradas. También debe activar los ajustes por computadora por defecto para activar las actualizaciones automáticas y mostrar el ícono de Endpoint Security en la bandeja de sistemas de Windows.

Para desactivar la evaluación de riesgos y desactivar el modo auditoría:

1. Inicie sesión en WatchGuard Cloud.
2. En el Administrador de Cuentas, seleccione la cuenta en la que inició la prueba y la evaluación de riesgos.
3. Seleccione Monitorizar > Endpoints.

4. Haga clic en Desactivar.
   Se abre un cuadro de diálogo de confirmación.

5. Haga clic en Desactivar.
6. Seleccione Configuración > Estaciones y Servidores.

7. Asigne la configuración predeterminada de las estaciones de trabajo y servidores al grupo Todos.
   Esto deshabilita el modo Auditoría. Si la cuenta no tenía un perfil asignado por su Service Provider, la Evaluación de Riesgos de Endpoints asignó automáticamente un perfil de ajustes con archivos señuelo y anti-exploit deshabilitados. Cuando desactiva la evaluación de riesgos, este perfil se deshabilita. Para habilitar el modo Auditoría, los archivos señuelo y la protección anti-exploit, le recomendamos que asigne los ajustes por defecto.
   
8. Seleccione Ajustes por Equipo.
9. Asigne el perfil predeterminado de ajustes por computadora al grupo Todos.

Remediar Amenazas Encontradas en los Endpoints

En cualquier momento, puede aplicar políticas de remediación para mejorar la postura de seguridad de la cuenta.

Para remediar vulnerabilidades con Endpoint Security, recomendamos que haga lo siguiente:

1. Desactive la Evaluación de Riesgos de los Endpoints.
2. Asigne los ajustes predeterminados de estaciones y servidores a las cuentas para las que desea remediar amenazas. Esto desactiva el modo Auditoría para asegurarse de que Endpoint Security bloquee y elimine el malware, los PUP u otros exploits encontrados. Para más información, vaya a Configurar Ajustes de Seguridad para Estaciones de Trabajo y Servidores y Asignar un Perfil de Ajustes.
3. Analice las áreas críticas en todos los dispositivos de endpoint. Para más información, vaya a Escanear Computadoras y Dispositivos.
4. Inicie una prueba de Patch Management para aplicar automáticamente los parches disponibles en sus endpoints. Para más información, vaya a Prácticas Recomendadas de Patch Management.
5. Revise y siga las recomendaciones en el informe Evaluación de Riesgos de los Endpoints para reducir la superficie de ataque y mejorar la postura de seguridad. Esto podría incluir aislamiento de dispositivos, tareas de análisis de malware adicionales y control de aplicaciones (Bloqueo de Programas).

Temas Relacionados

Iniciar una Prueba – Service Providers

Requisitos de Instalación (enlace externo)

Comenzar con WatchGuard Endpoint Security