Configurar el Plugin de WatchGuard Endpoint Security para N-able N-sight
Después de utilizar la aplicación de incorporación para instalar el plugin, debe configurar el plugin para su integración con N-able N-sight. Para configurar el plugin debe:
Para obtener más información sobre qué monitoriza N-able N-sight después de completar su configuración, vaya a Elementos Monitorizados por el Servicio .
Importar Scripts de WatchGuard
Cuando descarga el plugin de WatchGuard Endpoint Security para N-able N-sight, la carpeta descargada incluye scripts de WatchGuard. El plugin utiliza estos scripts para realizar acciones en N-able N-sight.
Tabla de Scripts
Esta tabla de scripts incluye el nombre, el nombre del archivo, la descripción, el tipo y el sistema operativo de cada script de WatchGuard disponible para usar en N-sight. Utilice los datos de la tabla cuando utilice el Script Manager en N-sight para Importar Scripts a N-sight.
| Nombre del script | Nombre de Archivo | Descripción | Tipo | Sistema Operativo |
|---|---|---|---|---|
| WatchGuard – Agent installation in Windows | WatchGuard Endpoint Security – Install agent in Windows.PS1 | Instala el WatchGuard Endpoint Agent en dispositivos Windows. | Tarea | Windows |
| WatchGuard – Agent installation in macOS | WG-Install-Mac.SH | Instala el WatchGuard Endpoint Agent en dispositivos Mac. | Tarea | macOS |
| WatchGuard – Agent installation in Linux | WG-Install-Linux.SH | Instala el WatchGuard Endpoint Agent en dispositivos Linux. | Tarea | Linux |
| WatchGuard – Scan Windows device | WatchGuard Endpoint Security – Scan Windows device.PS1 | Escanea los dispositivos Windows. | Tarea | Windows |
| WatchGuard – Scan Mac device | WG-Scan-Mac.SH | Escanea los dispositivos Mac. | Tarea | macOS |
| WatchGuard – Monitor in Windows | WatchGuard Endpoint Security – Monitor Windows device.PS1 | Monitoriza las amenazas de seguridad en los dispositivos Windows. | Tarea/Comprobación de Script | Windows |
| WatchGuard – Monitor in Mac | WG-Monitor-Mac.SH | Monitoriza las amenazas de seguridad en los dispositivos Mac. | Tarea/Comprobación de Script | macOS |
| WatchGuard – Monitor in Linux | WG-Monitor-Linux.SH | Monitoriza las amenazas de seguridad en los dispositivos Linux. | Tarea/Comprobación de Script | Linux |
Importar Scripts a N-sight
Para importar scripts de WatchGuard, desde N-sight:
- Seleccione Settings > Script Manager.
Se abre el cuadro de diálogo Script Manager.
- Haga clic en New.
Se abre el cuadro de diálogo Add User Defined Scripts.
- En el cuadro de texto Name, introduzca el nombre del script para el script que desea añadir. Para este ejemplo, ingrese WatchGuard - Agent installation in Windows.
- En el cuadro de texto Description, introduzca la descripción para el script que desee añadir. Para este ejemplo, escriba This script installs WatchGuard Endpoint Agent on Windows devices.
- Seleccione el Type. Para este ejemplo, seleccione Automated Task.
- Seleccione el OS. Por ejemplo, seleccione Windows.
- En la sección Upload a script, haga clic en Browse y seleccione el script desde la carpeta NableInt. Para este ejemplo, seleccione WatchGuard Endpoint Security – Install agent in Windows.PS1
- Haga clic en Save.
- Repita este procedimiento para todos los scripts de Windows, macOS y Linux enumerados en la tabla.
Configurar la Monitorización
Para monitorizar la seguridad de los dispositivos de endpoint en N-sight, como las amenazas detectadas y los incidentes de estado de seguridad, debe completar estos pasos:
Agregar una Plantilla de Monitorización
Cuando descarga el plugin de WatchGuard Endpoint Security para N-able N-sight, la carpeta descargada incluye los scripts para monitorizar los dispositivos Windows, macOS y Linux.
| Nombre del script | Dispositivos Admitidos |
|---|---|
| WatchGuard – Monitor in Windows | Estaciones de trabajo y servidores Windows |
| WatchGuard – Monitor in Mac | Estaciones Mac |
| WatchGuard – Monitor in Linux | Servidores Linux |
Para agregar una plantilla de monitorización, desde N-sight:
- Seleccione Settings > Monitoring Templates > Manage Templates.
- Haga clic en Add y, en la lista desplegable, seleccione el tipo de estación de trabajo para la que desea usar la plantilla. Para este ejemplo, seleccione Add Workstation Monitoring Template.
Se abre el cuadro de diálogo Add Monitoring Template.
- En el cuadro de texto Template Name, ingrese el nombre para la plantilla. Para este ejemplo, ingrese WatchGuard Endpoint Security template.
- Para el OS, seleccione el sistema operativo de la estación de trabajo que seleccionó. Por ejemplo, seleccione Windows.
- En la sección Check Frequency, seleccione la casilla Enabled.
- Deje los valores predeterminados para todas los demás ajustes.
- En la sección Checks and Tasks, seleccione Add > Add 24x7 Check > Script Check.
- En el cuadro de diálogo Add Script Check, seleccione el script de monitorización de WatchGuard que corresponde al OS que seleccionó en Step 2. Para este ejemplo, seleccione WatchGuard Endpoint Security - Monitor Windows device.
- Haga clic en Next.
Se abre el cuadro de diálogo WatchGuard Endpoint Security - Monitor Windows Device.
- En la aplicación WatchGuard Endpoint Security Onboarding for N-able, seleccione Map Clients.
- Seleccione el cliente para el que desea crear la plantilla de la lista y haga clic en Copy Script.
- Haga clic en OK.
- Regrese al cuadro de diálogo WatchGuard Endpoint Security Monitor en N-sight.
- En el cuadro de texto Command Line, pegue los parámetros del script que copió de la aplicación de incorporación.
- Haga clic en Finish.
- Haga clic en OK.
- Repita este procedimiento para todos los scripts de monitorización.
Aplicar la Plantilla de Monitorización
Después de crear una plantilla de monitorización, debe aplicarla a un cliente.
Para aplicar la plantilla del servicio de monitorización, desde N-sight:
- En la sección Monitoring and Management, haga clic con el botón derecho en el cliente al que desee aplicar la plantilla y seleccione Apply Monitoring Template.
- En el cuadro de diálogo Apply Monitoring Template, seleccione el tipo de dispositivo. Para este ejemplo, seleccione Workstations.
- En la lista Available Templates, seleccione la plantilla que creó, luego haga clic en el botón con la flecha a la derecha para moverla a la lista Selected Templates.
- Deje los valores predeterminados para todas los demás ajustes.
- Haga clic en Apply.
- Repita este procedimiento para todas las plantillas de monitorización.
Elementos Monitorizados por el Servicio
Después de configurar correctamente N-able N-sight, puede utilizar N-sight para monitorizar sus dispositivos en busca de amenazas. Esta tabla muestra los elementos que el servicio WatchGuard Endpoint Security monitoriza y los mensajes de resultados normales y fallidos:
| Elemento Monitorizado | Resultado Fallido | Resultado Normal |
|---|---|---|
|
Indicadores de ataque* |
Uno o más indicadores de ataque detectados. | No se detectaron indicadores de ataque. |
| Ejecución de PUP* | Se detectaron una o más ejecuciones de PUP. | No se detectaron ejecuciones de PUP. |
| Ejecución de malware* | Se detectaron una o más ejecuciones de malware. | No se detectaron ejecuciones de malware. |
| Reinicio pendiente | Hay un reinicio pendiente. | No hay ningún reinicio pendiente. |
| Instalación del Agente de WatchGuard | La instalación del Agente de WatchGuard no fue exitosa. | La instalación del Agente de WatchGuard fue exitosa. |
| Validación de licencia de WatchGuard | No hay ninguna licencia WatchGuard válida asignada. | Se asigna una licencia WatchGuard válida. |
| Estado de la protección | El estado de protección no es correcto. | El estado de protección es correcto. |
|
Detección de amenazas** |
Una o más amenazas detectadas. | No se detectaron amenazas. |
* El servicio WatchGuard Endpoint Security monitoriza indicadores de ataques, ejecuciones de PUP y ejecuciones de malware en los siete días anteriores.
** La detección de amenazas incluye la monitorización de WatchGuard Endpoint Security durante los siete días anteriores e incluye:
- Malware detectado
- Malware ejecutado
- PUP detectado
- PUP ejecutado
- Programas bloqueados
- Exploit
- Virus
- Spyware
- Herramienta de hacking
- Phishing
- Intentos de intrusión bloqueados
- URL con malware bloqueadas
- Dispositivos bloqueados
Si WatchGuard Endpoint Security detecta una amenaza, la columna Value de la página Status Details en Service Monitoring muestra los detalles de las detecciones en formato JSON que puede copiar. Por ejemplo:
{
"malwares": [
{
"eventDateTime": "2022-04-11T14:16:11.036",
"hostName": "WIN-LAPTOP-1",
"path": "C:\\Documents\\AAABC_d61266bfH.zip"
}
],
"puPs": [
{
"eventDateTime": "2022-04-11T11:01:12.52",
"hostName": "WIN-LAPTOP-1",
"itemName": "HackingTool/VulnerabilityScanner",
"path":"SYSTEMDRIVE|\\Users\\administrator\\Downloads\\vulnerabilityscanner.exe"
},
{
"eventDateTime": "2022-04-11T08:23:52",
"hostName": "WIN-LAPTOP-1",
"itemName": "Trj/WLT.C",
"path": "TEMP|\\62b2153392561255386e5f059c216110"
}
],
"ioAs":
[
{
"eventDateTime": "2022-04-07T00:33:05",
"hostName": "WIN-LAPTOP-1",
"ruleName": "Use of pipes to escalate privileges",
"ruleRisk": "Critical",
"action": "Undefined"
},
{
"eventDateTime": "2022-04-09T00:20:20.001",
"hostName": "WIN-LAPTOP-1",
"ruleName": "Credentials compromised after brute-force attack on RDP",
"ruleRisk": "Critical",
"action": "Attack Blocked"
},
{
"eventDateTime": "2022-04-09T00:20:20",
"hostName": "WIN-LAPTOP-1",
"ruleName": "In-memory execution of a remote script",
"ruleRisk": "Critical",
"action": "Undefined"
},
{
"eventDateTime": "2022-03-26T00:31:16.001",
"hostName": "WIN-LAPTOP-1",
"ruleName": "Credentials compromised after brute-force attack on RDP",
"ruleRisk": "Critical",
"action": "Attack Blocked"
},
{
"eventDateTime": "2022-04-11T00:33:38",
"hostName": "WIN-LAPTOP-1",
"ruleName": "Privilege escalation bypassing UAC",
"ruleRisk": "Critical","action": "Undefined"
}
]
}
Instalar el Plugin de WatchGuard Endpoint Security para N-able N-sight