Administrar los Indicadores de TDR

En Threat Detection and Response, indicadores son eventos recibidos de los Host Sensor y Firebox en su red, y son calificados por el motor de análisis de ThreatSync. En la página Indicadores, puede ver todos los indicadores en el sistema, crear rápidamente gráficos de barras y circulares, y completar acciones manuales a través de los hosts.

Ver los Indicadores

En la página Panel de Control en TDR en WatchGuard Cloud, puede ver un resumen de los indicadores, y acceder rápidamente a una vista filtrada de la página Indicadores. Para más información, consulte Panel de Control de TDR. También puede ir directamente a la página Indicadores y ver todos los indicadores.

  1. Seleccione ThreatSync > Indicadores.

Screen shot of the Indicators page

De forma predeterminada, la página Indicadores muestra los indicadores con una puntuación de 6 o más, vistos por última vez en las últimas 24 horas.

  1. Para buscar indicadores, en el cuadro de texto Buscar ingrese una palabra o valor para buscar. La búsqueda puede coincidir con el texto en un nombre de archivo, valor MD5, dirección IP, nombre DNS o URL asociados con un indicador.
  2. Use los encabezados de las columnas para cambiar o borrar los filtros.
    • Para aplicar un filtro, seleccione los controles en los encabezados de las columnas.
    • Si desea que el filtro persista en todas las sesiones y exploradores, guárdelo.

La lista Indicadores muestra una lista de indicadores con información de estado y acciones solicitadas.

  • Puntuación — La puntuación de amenaza para este indicador. De forma predeterminada, esta columna se filtra para mostrar puntuaciones de 6 o más.
    Para más información, consulte Acerca de las Puntuaciones de Amenaza de TDR.
  • Origen — El origen del indicador: Host Sensor (), Firebox (Red) (), o ambos si el indicador está correlacionado.
  • Indicador — Los detalles del indicador. Puede filtrar esta columna por tipo de indicador, tal como se describe en la siguiente sección. Para ver más detalles, haga clic en Información Adicional.
  • Última Vez Visto — La última vez que el indicador se recibió del Host Sensor. De forma predeterminada, esta columna se filtra para mostrar los indicadores vistos por última vez en las últimas 24 horas.
  • Estado del Sensor — El estado del Host Sensor.
    Para más información, consulte Administrar Hosts y Host Sensors de TDR.
  • Host/IP — El nombre de host o la dirección IP del sistema host.
  • Acción Solicitada — La acción recomendada por Threat Detection and Response para un indicador de un Host Sensor.
  • Resultado — Indica el estado de la acción incluida en la columna Acción Solicitada.
  • Sin Política indica que no hay una política para tomar acciones sobre esta amenaza.
  • Exitoso indica que la acción fue exitosa y la amenaza fue remediada.
  • Falla indica que la acción falló debido a un problema de permisos o porque la amenaza fue remediada por otra acción.
  • Usuario — Muestra el propietario del proceso o archivo para el que se creó el indicador.
  • Indicadores de Archivo — Muestra el propietario del archivo.
  • Indicadores de Proceso — Muestra el propietario del proceso.
  • Indicadores de Registro — No se muestra información de usuario.
  • Indicadores de Red Correlacionados — Muestra el propietario del proceso que realizó la conexión de red sospechosa.
  • Indicadores de Red No Correlacionados — No se muestra información de usuario.
  • Fecha de Acción — La fecha y la hora en que ocurrió la acción de remediación.
  • Puntuación Anterior — Muestra la puntuación anterior asignada a un indicador antes de que se completara una acción de remediación. Esta columna no es visible de manera predeterminada.
  • Para Investigación Adicional — Contiene enlaces en los que puede hacer clic para buscar el MD5 en Google, VirusTotal y MetaScan.

No todas las columnas son visibles de manera predeterminada. Para seleccionar qué columnas son visibles, haga clic en Elegir Columnas.

Para obtener una descripción de las posibles acciones y resultados, consulte Acciones y Resultados del Indicador de TDR.

Filtros de Indicador

Puede filtrar indicadores por cualquiera de las columnas o por un período de tiempo específico. Puede guardar un filtro para que persista en todas las sesiones y exploradores.

Administrar Filtros

Puede filtrar la información que se muestra en la página en la parte superior de cada columna. Puede guardar una configuración de filtro para que la página muestre automáticamente la información especificada cada vez que la abra.

  1. Seleccione los ajustes de la columna que desea guardar.
  2. En el encabezado de la columna del extremo izquierdo, haga clic en .
  3. Seleccione Guardar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Aplicar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Despejar.
  1. En el encabezado de la columna del extremo izquierdo, haga clic en .
  2. Seleccione Eliminar.

Filtrar Indicadores por Fecha

  1. En el encabezado de la columna, haga clic en .
    Aparece un cuadro de diálogo de selección de fecha. El filtro de rango de fecha seleccionado, si lo hubiera, aparece en la parte superior.

Screen shot of the date selection dialog box

  1. Seleccione la fecha de inicio y finalización en el calendario, o bien seleccione un acceso directo de rango de fechas. Los accesos disponibles son:
    • Últimas 24 horas
    • Últimos 3 días
    • Últimos 7 días
    • Últimos 30 días
  2. Para aplicar el filtro del rango de fechas seleccionado, haga clic en Aplicar.
  3. Para borrar el filtro del rango de fechas, haga clic en Borrar.

Puede aplicar un filtro a la columna Indicador para ver los indicadores por el tipo de indicador.

  • Archivo — un archivo sospechoso o malicioso
  • Proceso — un proceso sospechoso o malicioso
  • Registro — una entrada de registro sospechosa o maliciosa en un host de Windows
  • Host Ransomware Prevention — procesos y archivos con las características de ransomware
  • Sitios Bloqueados por Botnet
  • Sitios Bloqueados por FQDN
  • Sitios Bloqueados por IP
  • Coincidencia de Preguntas de DNS
  • HTTP Bloqueado por APT
  • HTTP Detectado por APT
  • Mala Reputación de HTTP
  • Categoría de Solicitud de HTTP
  • Virus Encontrado en HTTP
  • SMTP Bloqueado por APT
  • SMPT Detectado por APT
  • Virus Encontrado en SMTP
  • APT HTTP Detectado y Encontrado — La respuesta de APT Blocker indica que el archivo es malicioso y el Host Sensor devolvió las ubicaciones de los archivos para su reparación.
  • Proceso + Red — Correlaciona los eventos de red del Firebox con un proceso individual en el host. (Solo disponible para Host Sensor en Windows).

También puede ver el mensaje de registro completo generado por Firebox para cada evento de red en la página Eventos de Red. Para los indicadores de red, cada indicador corresponde a un tipo de evento diferente. Para más información, consulte Ver Eventos de Red en TDR.

El análisis de ThreatSync asigna a cada indicador una puntuación basada en la gravedad de la amenaza. 10 es el nivel de amenaza más alto, y 2 es el más bajo. ThreatSync asigna una puntuación de 1 si un indicador se corrigió con éxito, y una puntuación de 0 si un indicador está en la Lista de Permitidos.

Para obtener más información sobre las puntuaciones de amenazas de indicadores, consulte Acerca de las Puntuaciones de Amenaza de TDR.

Para obtener más información sobre acciones de remediación y puntuaciones de amenazas, consulte Acciones de Remediación y Puntuaciones de Amenaza de TDR

Acciones

Cada indicador está asociado con un host. Los indicadores pueden estar relacionados con archivos o procesos en un host, detectados por un Host Sensor () o eventos de red para el tráfico hacia o desde un host, o detectados por un Firebox (). Para los indicadores reportados por un Firebox, el Firebox completa las acciones de remediación, de acuerdo con los ajustes en la configuración del Firebox. Por ejemplo, APT Blocker, IPS o Gateway AntiVirus podrían bloquear el acceso a un archivo, o WebBlocker podría bloquear el acceso a un sitio web. Para los indicadores reportados por un Host Sensor, la acción de remediación puede ser tomada automáticamente por el Host Sensor, basándose en las políticas de TDR configuradas, o usted puede tomar la acción solicitada para remediar la amenaza de la página Indicadores.

Registro de Acción e Historial de Remediación

Para cada indicador, el Registro de Acción muestra una lista de acciones para ese indicador. Para un indicador remediado, el Registro de Acción también incluye el Historial de Remediación, que muestra la puntuación original del indicador antes de que fuera remediado con éxito

  1. En la página Indicadores, busque el indicador correspondiente.
  2. En la columna Resultado para el indicador, haga clic en .

Screen shot of the Action Log for a successfully remediated indicator

  1. Haga clic en Cerrar para cerrar el Registro de acción.

Detalles de Indicadores

  1. Seleccione ThreatSync > Indicadores.
  2. En la columna Indicador, haga clic en Información Adicional.
    Se abre el cuadro de diálogo Información Adicional.

Screen shot of the Additional Info dialog box for an indicator from a Host Sensor

La información adicional que aparece depende del origen del indicador. El origen podría ser un Host Sensor, un Firebox o ambos.

Indicadores de un Host Sensor —

Para un indicador reportado por un Host Sensor, el cuadro de diálogo Información Adicional muestra información sobre cómo el análisis de ThreatSync calculó la puntuación del indicador. Muestra información sobre tres componentes de la puntuación: Fuente de Amenaza, Servicio de Verificación de Malware y Heurística. Se resalta el estado de cada indicador.

Opciones de estado de Fuente de Amenaza:

  • No Coincidencia — El archivo o proceso no es igual a nada en la Fuente de Amenaza
  • Coincidencia — El archivo o proceso es igual a algo en la Fuente de Amenaza

Opciones de Estado del Servicio de Verificación de Malware (MVS):

  • Benigno — MVS identificó que el archivo o proceso no es una amenaza
  • No Visto — MVS no tiene información sobre el archivo o proceso
  • Potencial — MVS identificó que el archivo o proceso es una amenaza potencial
  • Malicioso — MVS identificó que el archivo o proceso es una amenaza conocida

Opciones de estado de Heurística:

  • Por Debajo del Umbral — El comportamiento observado de este archivo o proceso no se reconoce como sospechoso
  • Sospechoso — El comportamiento observado de este archivo o proceso es sospechoso. Si se utilizó el aprendizaje automático para determinar el estado, aparece (ML) junto a la etiqueta Sospechoso.

Para obtener más información sobre el evento sospechoso, haga clic en Detalles.

Si el hash para este indicador se encontró en otros hosts, la esquina superior derecha del cuadro de diálogo Información Adicional muestra el número de otros Host Sensors que identificaron este indicador. Para ver una lista de todos los hosts que identifican este indicador, haga clic en Hash encontrado en otro(s) host(s).

Si el Host Sensor solicita la acción Poner Archivo en la Caja de Arena, el cuadro de diálogo Información Adicional también incluye información sobre el estado de Análisis de Caja de Arena por parte de APT Blocker.

Screen shot of the Additional Information dialog box for an indicator with Sandbox Analysis status

Para más información, consulte Análisis de Caja de Arena de TDR por APT Blocker.

Indicadores de un Firebox (Red) —

Para un indicador reportado por un Firebox, el cuadro de diálogo Información Adicional muestra información sobre la amenaza reportada por el Firebox.

Screen shot of the Additional Info dialog box for an indicator from a Firebox

Puede ver más detalles sobre los eventos de red identificados por un Firebox en la página Eventos de Red. Para más información, consulte Ver Eventos de Red en TDR.

Indicadores Correlacionados

Los indicadores correlacionados se crean cuando se detecta una actividad sospechosa del proceso y una fuente secundaria la confirma, como el Host Sensor o APT Blocker.

Para habilitar indicadores correlacionados, debe habilitar el ajuste Permitir que los Host Sensors Almacenen en Caché los Metadatos del Archivo en la página Ajustes del Host Sensor. Consulte Configurar los Ajustes del Host Sensor de TDR para obtener más información.

Indicador de Proceso + Red

Los Indicadores de Proceso + Red se activan cuando el Firebox detecta una actividad sospechosa del proceso y luego se confirma en el Host Sensor. Cuando el Firebox reporta una conexión maliciosa a TDR, se crea un Indicador de Red. TDR almacena la información mientras el Host Sensor busca el proceso malicioso en el host basándose en la dirección IP/puerto de origen y la dirección IP/puerto de destino.

  • Si el proceso se encuentra en el host, se crea un Indicador de Proceso + Red y tanto el como el aparecen en la columna del origen.
  • Si el proceso no se encuentra en el host, permanecerá el Indicador de Red normal.

La amenaza se remedia de acuerdo con la política basada en la Puntuación de Amenaza. Si el proceso se ha detenido, el indicador se remedia automáticamente de forma externa. Por lo general, una puntuación correlacionada será lo suficientemente alta como para calificar para la acción Detener el Proceso. La cuarentena no es una acción disponible para los Indicadores Proceso + Red.

Si el Host Sensor encuentra el proceso, el cuadro de diálogo Información Adicional muestra información sobre el Evento de Red y la Información del Proceso, así como los Detalles de Amenaza.

Mitigación de Día Cero de APT del Proxy HTTP(S)

Esta función solo es compatible con Fireware v12.1.3 Actualización 2 para XTMv, o Fireware v12.4 y superior para los modelos Firebox M Series y T Series.

Cuando se envían archivos sospechosos a APT Blocker para su análisis, puede tomar varios minutos recibir una respuesta del centro de datos basado en la nube de APT Blocker. Si el archivo es malicioso, podría propagarse en su red antes de que APT Blocker responda. TDR continúa rastreando la ubicación del archivo, así como cualquier copia del archivo, por hasta 20 minutos. Si la respuesta de APT Blocker indica que el archivo es malicioso, TDR implementará la política de corrección de archivos apropiada para todas las copias del archivo.

Un evento HttpAPTDetected se activa cuando APT Blocker reporta que un archivo sospechoso es malicioso. Se envía una solicitud al Host Sensor para las ubicaciones del archivo.

Cuando el Host Sensor devuelve la información, se genera un Indicador APT HTTP Detectado y Encontrado para cada copia de archivo. Haga clic en el enlace Información Adicional para que el indicador abra el cuadro de diálogo Información Adicional de APT Detectada y Encontrada.

Screenshot of APT Detected and Found Information

Investigación Adicional

Para investigar más a fondo un indicador, puede buscar el valor MD5 del indicador en Google, VirusTotal o MetaScan.

Para buscar el valor MD5 para un indicador, en la Columna Para Investigación Adicional, haga clic en uno de estos enlaces:

  • Buscar MD5 en Google
  • Buscar MD5 en VirusTotal
  • Buscar MD5 en MetaScan

Crear y Exportar Gráficos de Indicadores

Puede ver los indicadores como un gráfico de barras, gráfico circular o gráfico de series temporales apiladas. Puede exportar la gráfica a un archivo .PNG, .JPB, .GIF o .PDF.

  1. Haga clic en el tipo de gráfico que desea generar:
    • — Gráfico de Barras
    • — Gráfico Circular
    • — Gráfico de Barras Apiladas

Aparece el gráfico seleccionado

Screen shot of an indicator pie chart

  1. Para cambiar el rango de fechas que se muestra en el gráfico, seleccione un rango de fechas en la parte superior.
  2. En la lista desplegable Agrupar Por, seleccione cómo agrupar los datos en el gráfico.
  3. En la lista desplegable Mostrar, seleccione cuántos indicadores mostrar en el gráfico.
  4. Para exportar el gráfico, haga clic en y seleccione el formato del archivo de exportación: .PNG, .JPG, .GIF o .PDF.
    El archivo se descarga en el formato seleccionado.

Ejecutar una Acción Manual

Puede seleccionar manualmente acciones para remediar indicadores. La columna Acción Solicitada muestra la acción recomendada para remediar un indicador reportado por un Host Sensor. Cuando toma la acción solicitada, esto se clasifica como una remediación Manual en el widget Remediaciones en la página Panel de Control de TDR.

Para obtener una lista de acciones y sus resultados, consulte Acciones y Resultados del Indicador de TDR.

  1. Seleccione la casilla de selección para uno o más indicadores.
  2. En la lista desplegable Acciones, seleccione la acción que desea completar.
    Se abre un cuadro de diálogo de confirmación, con una lista de los indicadores a los que se aplica la acción seleccionada.

Screen shot of the Confirm Action dialog box

  1. Haga clic en Ejecutar Acción.

Después de que el Host Sensor ejecuta con éxito una acción de remediación, la puntuación del indicador se reduce a 1 y la columna Resultado en la página Indicadores muestra que la acción tuvo éxito.

Ver También

Acciones y Resultados del Indicador de TDR

Instalación Manual de Host Sensor de TDR

Instalación CLI y GPO de Host Sensor de TDR