Configurar las Exclusiones de TDR

Puede habilitar las exclusiones de TDR para el software o los archivos que desea que el Host Sensor de TDR ignore.

En algunos casos, el Host Sensor de TDR puede tener conflictos con el software antivirus (AV) instalado en sus endpoints. Para resolver este problema, debe agregar exclusiones en el software antivirus y en TDR. TDR facilita este paso con listas de exclusión predefinidas para la interoperabilidad con los antivirus populares de terceros.

Si hay archivos o procesos adicionales que desea que el Host Sensors ignore, puede configurar exclusiones personalizadas para identificar las rutas de los archivos y procesos que no desea que los Host Sensors monitoricen.

Los Host Sensors no envían eventos a Threat Detection and Response (TDR) para los archivos y procesos en la lista de Exclusiones.

Lista de Permitidos vs. Lista de Exclusiones

Es importante comprender la diferencia entre la Lista de Permitidos y la lista de Exclusiones.

Lista de Permitidos

La Lista de Permitidos identifica los archivos y procesos específicos que usted considera seguros. Para cambios en un archivo o proceso en la Lista de Permitidos, el Host Sensor envía el evento a TDR. La heurística de ThreatSync no incluye cambios en los archivos en la Lista de Permitidos como incidentes o indicadores. ThreatSync asigna a los eventos en la Lista de Permitidos una puntuación de 0.

Usted agrega un archivo o proceso a la Lista de Permitidos como una anulación de firma. Para más información, consulte Configurar las Anulaciones de Firmas de TDR.

Exclusión

Una exclusión identifica una ruta que usted desea que todos los Host Sensors ignoren para los eventos de archivos y procesos. Cuando agrega una exclusión, los Host Sensors ignoran cualquier evento creado por un archivo o un proceso que se origina en el directorio especificado. Las exclusiones también se aplican a los escaneos de valores de referencia.

Gestionar Exclusiones de Antivirus Predefinidas

TDR tiene conjuntos de exclusiones predefinidas de antivirus para las herramientas de antivirus de terceros más comunes. Estos conjuntos de exclusiones incluyen todas las exclusiones recomendadas para el antivirus.

Después de habilitar las exclusiones de antivirus en TDR, debe agregar las exclusiones de TDR a su software antivirus para evitar posibles conflictos.

Para agregar una exclusión predefinida de AV:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección Host Sensor, seleccione Exclusiones.
    Se abre la página de Exclusiones con la pestaña Personalizado seleccionada.
  4. Seleccione la pestaña AV.
    Se abre la página Exclusión con la lista de conjuntos de exclusiones AV predefinidas.
  5. Para habilitar un conjunto de exclusiones de antivirus, marque la casilla de selección Habilitado para el software antivirus.
    Esto aplica las exclusiones a todos los Hosts y Grupos de Hosts.
  6. Para aplicar el conjunto de exclusiones de antivirus a Hosts o Grupos de Hosts específicos, haga clic en la flecha del software antivirus. En el cuadro de texto Hosts/Grupos, ingrese el nombre del Host o Grupo de Hosts y luego seleccione el nombre apropiado de la lista desplegable.
  7. Haga clic en Guardar y Cerrar.

Para ver las rutas y procesos excluidos:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas
  3. En la sección Host Sensor, seleccione Exclusiones.
    Se abre la página de Exclusiones con la pestaña Personalizado seleccionada.
  4. Seleccione la pestaña AV.
    Se abre la página Exclusión con la lista de AV.
  5. Seleccione la flecha para el software antivirus.
    Se abre el cuadro de diálogo del antivirus con las exclusiones en la parte inferior.

Puede filtrar las exclusiones por ruta, si excluyen subcarpetas, qué entidades están excluidas, o bien por la descripción. No puede editar el conjunto de exclusiones. Si necesita personalizar las exclusiones, debe hacerlo manualmente.

Para ver una lista de todas las exclusiones aplicadas a hosts y grupos:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección Host Sensor, seleccione Exclusiones.
    Se abre la página de Exclusiones con la pestaña Personalizado seleccionada.
  4. Seleccione la pestaña Aplicado.
    Se abre la página Aplicado con la pestaña Host seleccionada.
  5. Seleccione la flecha junto al host que desea ver.
    Se abre el cuadro de diálogo Host.
  6. Para ver una lista de todas las exclusiones por grupo, seleccione la pestaña Grupo.
  7. Seleccione la flecha junto al grupo que desea ver.
    Se abre el cuadro de diálogo Grupo.

Configurar el Software Antivirus para Excluir el Host Sensor de TDR

Para evitar conflictos entre TDR y su software antivirus de escritorio, también debe configurar exclusiones para directorios TDR en su software antivirus de escritorio.

En la configuración del software antivirus de la computadora, agregue el directorio de instalación de Host Sensor de TDR a la lista de exclusiones o Lista de Permitidos.

Los directorios que se van a excluir son:

c:\Program Files (x86)\WatchGuard\Threat Detection and Response\

c:\Program Files\WatchGuard\Threat Detection and Response\

Consulte la documentación de su proveedor de software antivirus para obtener instrucciones sobre cómo editar la lista de exclusiones o lista de permitidos.

Administrar Exclusiones Personalizadas

Si hay otras rutas o procesos que necesita excluir, puede agregar una exclusión personalizada. WatchGuard ha probado TDR con muchos productos populares. Las guías de integración de WatchGuard describen cómo configurar TDR y otros productos para que puedan interoperar. Con frecuencia, esto implica agregar una exclusión personalizada a TDR. Para obtener información sobre estas integraciones, consulte las Guías de Integración de Threat Detection and Response.

Cuando agrega una exclusión personalizada:

  • Puede incluir un caracter comodín en la ruta que desea excluir
  • Puede seleccionar si desea incluir todos los subdirectorios de la ruta especificada

TDR no es compatible con las variables del sistema Windows (%%) en exclusiones y no amplía las variables del sistema en sus exclusiones para Windows, Mac y Linux. Por ejemplo, en lugar de agregar %userprofile%\appdata\roaming\ para excluir su perfil de roaming, utilice el carácter comodín asterisco (*) C:\Users*\appdata\roaming.

Ejemplos de Exclusiones Personalizadas

El caracter comodín asterisco (*) coincidirá con cualquier número de caracteres. Por ejemplo, C:\Program Files (x86)\Folder\Subfolder\example.exe coincidirá con los dos archivos ejecutables siguientes:

  • C:\Program Files (x86)\Folder\Subfolder\x86\example.exe
  • C:\Program Files (x86)\Folder\Subfolder\x64\example.exe

El caracter * no coincidirá con \ o los límites de directorio, y se aplica solo a esa carpeta o nombre de archivo.

Por ejemplo, C:*.exe coincidirá con cualquier archivo ejecutable ubicado en la raíz de C:. Esto coincidirá con cualquier archivo .exe ubicado en la raíz de C: como C:\notepad.exe, pero no coincidirá con C:\windows\notepad.exe.

Puede utilizar varios caracteres comodín para hacer coincidir nombres de archivos parciales. Por ejemplo, C:\Program Files\Microsoft SQL Server*\mssql\data*.ldf coincidirá con cualquier archivo .ldf en el directorio de la base de datos de Microsoft Azure SQL (MSSQL) en todas las bases de datos.

Los caracteres ? coincidirán con cualquier caracter individual. Por ejemplo, C:\Windows\Temp\tmp???????? coincidirá con los archivos tmp en el directorio temporal de Windows que comienzan con tmp y tienen exactamente 11 caracteres de longitud, como C:\Windows\Temp\tmp00006f2e.

Para agregar manualmente una exclusión:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección Host Sensor, seleccione Exclusiones.
    Se abre la página de Exclusiones con la pestaña Personalizado seleccionada.
  4. Haga clic en + Agregar Exclusión.
    Se abre el cuadro de diálogo Agregar Exclusión.

Screen shot of the Add Exclusion dialog box

  1. En el cuadro de texto Ruta, escriba la ruta que desea excluir.
  2. Para excluir carpetas en el directorio especificado, marque la casilla de selección También excluir subcarpetas.
  3. En la lista desplegable Entidades a excluir, seleccione si desea excluir Archivos y Procesos, Solo archivos o Solo procesos.
  4. (Opcional) En el cuadro de texto Descripción, escriba una nueva descripción para esta exclusión.
  5. Seleccione los hosts y grupos a los que se aplica la exclusión.
    1. En el cuadro de texto Nombre de Host o Grupo de Hosts, escriba al menos tres caracteres del nombre del host o grupo de hosts que desea agregar. ¡Consejo!
      Aparecen los nombres de host y nombres de grupos que incluyen los caracteres.
    2. Seleccione el nombre de host o nombre de grupo que desea agregar.
    3. Para agregar otros hosts o grupos, repita los dos pasos anteriores.
  6. Haga clic en Guardar y Cerrar.
    La exclusión se agrega a la lista de Exclusiones.

Para editar una exclusión personalizada:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección Host Sensor, seleccione Exclusiones.
    Se abre la página de Exclusiones con la pestaña Personalizado seleccionada.
  4. En la lista de Exclusiones, a la izquierda de la exclusión que desea editar, haga clic en .
    Se abre el cuadro de diálogo Editar Exclusión.
  5. Edite la configuración tal como se describe en el procedimiento anterior.
  6. Haga clic en Guardar y Cerrar.

Para eliminar una exclusión personalizada:

  1. Iniciar Sesión en TDR.
  2. Seleccione Configurar > Detección de Amenazas.
  3. En la sección Host Sensor, seleccione Exclusiones.
    Se abre la página de Exclusiones con la pestaña Personalizado seleccionada.
  4. En la lista de Exclusiones, a la derecha de la exclusión que desea eliminar, haga clic en .
  5. Seleccione Eliminar Exclusión.
    Aparece un mensaje de confirmación.
  6. Haga clic en Sí, Eliminar.

Hacer Copia de Seguridad o Importar Exclusiones Personalizadas

Puede guardar una copia de seguridad de sus exclusiones personalizadas en un archivo .XML. Para agregar las exclusiones a cualquier cuenta de TDR, puede importar el archivo .XML guardado. Esto permite que un Service Provider de TDR copie las exclusiones personalizadas configuradas en una cuenta de cliente administrada a otra cuenta administrada. Para evitar exclusiones duplicadas, las exclusiones importadas se combinan con la lista de exclusiones existente.

Para guardar las exclusiones personalizadas en una copia de seguridad:

  1. Seleccione Configurar > Detección de Amenazas.
  2. En la sección Host Sensor, seleccione Exclusiones.
    Se abre la página de Exclusiones con la pestaña Personalizado seleccionada.
  3. Haga clic en Copia de Seguridad.
    El archivo de copia de seguridad .XML se guarda en la carpeta de descargas.

El nombre del archivo de copia de seguridad de las exclusiones incluye la fecha y hora actuales. Por ejemplo:

WatchGuardTDR_SensorExclusions_2017-01-25_22-39-43.xml

Para importar exclusiones personalizadas desde un archivo .XML de exclusiones guardado:

  1. Haga clic en Importar.
  2. Seleccione y abra el archivo de copia de seguridad guardado.
    Se abre un cuadro de diálogo de confirmación.
  3. Haga clic en Importar.
    Las exclusiones del archivo se agregan a la lista de Exclusiones.

Ver También

Mejores Prácticas de Implementación de TDR

Configurar las Políticas de TDR