Configurar la Contención de TDR

Para evitar la propagación de amenazas en su red, puede contener un host. La contención corta las conexiones actuales y previene nuevas conexiones de red en un host específico para que las amenazas no puedan propagarse a través de la red. Los hosts contenidos se aíslan y no pueden conectarse a través de la red. Otros dispositivos no pueden conectarse a un host contenido. Para restaurar la conectividad de la red cuando se resuelve la amenaza, el host debe liberarse de la contención.

Hay dos formas de contener y liberar hosts — manual o automáticamente según una política de contención. Para permitir que los hosts sean contenidos manual o automáticamente, la Acción Habilitar la Contención del Host del Núcleo debe estar habilitada en la configuración del Host Sensor. Para más información, consulte Configurar los Ajustes del Host Sensor de TDR.

TDR puede contener hosts de Windows. La contención no es compatible con sistemas que no sean Windows.

Contener y Liberar Hosts Manualmente

Puede contener y liberar un host Windows manualmente en las páginas de Hosts o Grupos.

Para contener un host manualmente:

Marque la casilla de selección junto al host Windows que desea contener.
Seleccione Acciones > Contener Host.
Se abre el cuadro de diálogo Confirmar Acción – Contener el Host.
Haga clic en Ejecutar Acción.
El host está contenido y se muestra un icono de contención en la columna Estado del Sensor.

Screen shot of the Install State and Sensor status columns for a contained host

Para liberar un host manualmente de la contención:

Marque la casilla de selección junto al host de Windows que desea liberar.
Seleccione Acciones > Liberar Host.
Se abre el cuadro de diálogo Confirmar Acción – Liberar el Host.
Haga clic en Ejecutar Acción
El host se libera de la contención.

Si la acción Liberar Host está deshabilitada, significa que el host no está contenido o no se está comunicando con ThreatSync. Compruebe si el host está en contención en la página Contención y compruebe el estado del host en la página ThreatSync > Hosts.

Para más información, consulte Administrar Hosts y Host Sensors de TDR, Administrar los Grupos de TDR y Administrar los Incidentes de TDR.

Políticas de Contención

Las políticas de contención contienen y liberan hosts Windows automáticamente con base en un umbral de puntuación de amenaza de incidente. Cuando ocurre un incidente con una puntuación de amenaza igual al valor especificado en la política, el host se contiene. Cuando la puntuación de amenaza cae por debajo del umbral especificado, el host se libera de la contención automáticamente.

Su cuenta de TDR incluye una política de contención predeterminada con los ajustes recomendados. Puede editar las políticas de contención predeterminada y configurar políticas adicionales que se apliquen a diferentes hosts y grupos de hosts en diferentes niveles de Cybercon.

Para obtener información acerca de cómo agregar una política de contención, consulte Configurar las Políticas de TDR

Excepciones de Contención

Cuando se contiene un host, solo puede conectarse a sí mismo, a TDR, a servidores DNS y a servidores DHCP. Si desea permitir otro tráfico de red hacia y desde los hosts contenidos, puede agregar excepciones de contención del host para hosts o para una red. Por ejemplo, es posible que desee permitir que el equipo de soporte se conecte a hosts contenidos en una red para resolver incidentes.

Para definir una excepción de contención, debe especificar dos o más de estos detalles de conexión:

Host Local/IP de Red

Dirección IP de una máquina o red remota con la notación diagonal.

Puerto Local

Puerto en un host.

Host Remoto/IP de Red

Dirección IP de una máquina o red remota con la notación diagonal.

Puerto Remoto

Puerto en una máquina remota.

Puede especificar conexiones de puerto a puerto, dirección IP a puerto o dirección IP a dirección IP. Por ejemplo, para configurar una excepción de contención para permitir que una persona de soporte se conecte a hosts contenidos, especifique:

Host Remoto/IP de Red — La dirección IP con la notación diagonal del equipo de la persona de soporte.
Puerto Local — El puerto al que la persona de soporte necesita conectarse en los hosts.

Para más información sobre la notación diagonal, consulte Acerca de la Notación Diagonal.

Agregar Excepciones de Contención

Para agregar una excepción de contención:

Seleccione Configurar > Detección de Amenazas.
En la sección Host Sensor, seleccione Excepciones de Contención.
Se abre la página Excepción de Contención.
Haga clic en + Agregar Excepción de Contención.
Se abre el cuadro de diálogo Agregar Excepción de Contención.

Screen shot of Add Containment Exception dialog box.

En la sección Tipos de Conexión, seleccione el tipo de conexión que desea permitir de las listas desplegables.
Puede especificar el tipo de dirección IP (IPv4 o IPv6). También puede especificar el protocolo (TCP o UDP).
Para especificar la conexión de red que desea permitir, ingrese los detalles de la conexión en dos o más de los cuadros de texto IP de Host/Red Local, Puerto Local, IP de Host/Red Remoto y Puerto Remoto.
Seleccione los hosts y grupos a los que se aplica la excepción:
1. En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!
  Aparecen los nombres de host y nombres de grupos que incluyen los caracteres.
2. Seleccione el nombre de host o nombre de grupo que desea agregar.
3. Para agregar otros hosts o grupos, repita los dos pasos anteriores.
(Opcional) En el cuadro de texto Comentarios, ingrese otra información sobre la excepción.
Haga clic en Guardar y Cerrar.

Hacer Copia de Seguridad o Importar Excepciones de Contención

Puede guardar una copia de seguridad de todas las excepciones de contención en un archivo .json. Para agregar las excepciones de contención a cualquier cuenta TDR, puede importar el archivo guardado. Esto permite que un Service Provider de TDR copie fácilmente las excepciones de contención configuradas en una cuenta de cliente administrada a otra cuenta administrada. Para evitar excepciones duplicadas, las excepciones de contención importadas se combinan con la lista existente de excepciones de contención.

Para guardar excepciones de contención en un archivo de copia de seguridad:

Seleccione Configurar > Detección de Amenazas.
En la sección Host Sensor, seleccione Excepciones de Contención.
Se abre la página Excepción de Contención.
Haga clic en Copia de Seguridad.
El archivo .json de copia de seguridad se guarda en la carpeta de descargas.

El nombre del archivo de copia de seguridad de las excepciones de contención incluye la fecha y hora actuales. Por ejemplo:

WatchGuardTDR_ContainmentExceptions_2018-09-17_15-11-11.json

Para importar excepciones de contención desde un archivo .json guardado:

Haga clic en Importar.
Seleccione y abra el archivo de copia de seguridad guardado.
Se abre un cuadro de diálogo de confirmación.
Haga clic en Importar.
Las excepciones de contención del archivo se agregan a la lista de excepciones de contención.

Editar o Eliminar una Excepción de Contención

Para editar una excepción de contención:

En la lista Contención, a la izquierda de la excepción que desea editar, haga clic en .
Edite la configuración tal como se describe en el procedimiento anterior.
Haga clic en Guardar y Cerrar.

Para eliminar una excepción de contención:

En la lista Contención, a la derecha de la excepción que desea eliminar, haga clic en .
Seleccione Eliminar Excepción de Contención.
Aparece un mensaje de confirmación.
Haga clic en Sí, Eliminar.

Ver También

Administrar Hosts y Host Sensors de TDR

Administrar los Grupos de TDR

Configurar las Políticas de TDR

Configurar los Ajustes del Host Sensor de TDR

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.