Eliminar un Archivo de Cuarentena

El Host Sensor de TDR puede poner un archivo en cuarentena cuando realiza la acción de Poner Archivo en Cuarentena, o como parte de una acción de Host Ransomware Prevention (HRP). Cuando el Host Sensor pone un archivo en cuarentena, cifra el archivo y lo almacena localmente en el host.

Directorio de cuarentena del Host Sensor de Windows:

c:\Program Files (x86)\WatchGuard\Threat Detection and Response\quarantine

Directorio de cuarentena del Host Sensor de Mac:

/usr/local/watchguard/tdr/quarantine

Directorio de cuarentena del Host Sensor de Linux:

/opt/watchguard/tdr/quarantine

El archivo cifrado permanece en el directorio de cuarentena en el host por el número de días especificado en la configuración Antigüedad Desactivada para Archivos en Cuarentena. Para más información, vea Configurar la Antigüedad Desactivada para Archivos en Cuarentena

Si decide que un archivo en cuarentena no es una amenaza, puede retirarlo de la cuarentena por hasta 30 días, siempre y cuando el archivo en cuarentena permanezca en el host.

Después de 30 días, no puede deshacer la acción de cuarentena, incluso si el archivo en cuarentena permanece en el host. Esto se debe a que los incidentes se eliminan automáticamente del sistema después de 30 días.

La acción para retirar un archivo de la cuarentena depende de si el Host Sensor puso el archivo en cuarentena como una acción de archivo de Poner Archivo en Cuarentena o como una acción de prevención de Host Ransomware Prevention (HRP). Puede seleccionar la acción para retirar un archivo de la cuarentena de la página Remediaciones, la página Indicadores, o la página Hosts.

Cuando retira un archivo de la Cuarentena, este se agrega automáticamente a la Lista de Permitidos.

Retirar un Archivo de la Cuarentena de la Página Remediaciones

Para encontrar el indicador y retirar un archivo de la cuarentena:

  1. Iniciar Sesión en TDR.
  2. Seleccione Monitorizar > Detección de Amenazas.
  3. En la sección ThreatSync, seleccione Indicadores.
  4. En la columna Acción Solicitada, configure el filtro para mostrar solo la acción Poner Archivo en Cuarentena.
  5. En la columna Fecha de Remediado, seleccione el rango de fechas para el periodo en que el archivo se puso en cuarentena.
  6. En el cuadro de texto Criterio de búsqueda, escriba el nombre del host.
  7. Busque el indicador del archivo que desea retirar de la cuarentena.
  8. Marque la casilla de selección junto al indicador. Puede seleccionar más de un indicador.
  9. Para retirar el archivo de la cuarentena para los indicadores seleccionados, en la lista desplegable Acciones, seleccione la acción disponible. La acción que puede elegir depende de si el archivo fue puesto en cuarentena como resultado de una acción de HRP o como una acción de Poner Archivo en Cuarentena.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de HRP, seleccione Retirar HRP de la Cuarentena.
      Esta acción retira de la cuarentena todos los archivos relacionados con esta acción HRP en el host, y agrega los archivos a la Lista de Permitidos.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de Poner Archivo en Cuarentena, seleccione Retirar Archivo de la Cuarentena.
      Esta acción retira de la cuarentena el archivo en este indicador en el host, y agrega el archivo a la Lista de Permitidos.
  10. Haga clic en Ejecutar Acción.
    TDR envía un mensaje al Host Sensor para retirar el archivo de la cuarentena.

Retirar un Archivo de la Cuarentena de la Página Indicadores

Para encontrar el indicador y retirar un archivo de la cuarentena:

  1. Iniciar Sesión en TDR.
  2. Seleccione Monitorizar > Detección de Amenazas.
  3. En la sección ThreatSync, seleccione Indicadores.
  4. Para borrar los filtros predeterminados, haga clic en . Seleccione Despejar.
  5. En la columna Última Vez Visto, seleccione el rango de fechas para el periodo de tiempo en que el archivo se puso en cuarentena.
  6. En la columna Acción Solicitada, configure el filtro para mostrar solo la acción Poner Archivo en Cuarentena.
  7. En la columna Resultado, configure el filtro para mostrar solo las acciones Exitoso.
  8. En el cuadro de texto Criterio de búsqueda, escriba el nombre del host.
  9. Busque el indicador del archivo que desea retirar de la cuarentena.
  10. Marque la casilla de selección junto al indicador. Puede seleccionar más de un indicador.
  11. Para retirar el archivo de la cuarentena para los indicadores seleccionados, en la lista desplegable Acciones, seleccione la acción disponible. La acción que puede elegir depende de si el archivo fue puesto en cuarentena como resultado de una acción de HRP o como una acción de Poner Archivo en Cuarentena.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de HRP, seleccione Retirar HRP de la Cuarentena.
      Esta acción retira de la cuarentena todos los archivos relacionados con esta acción HRP en el host, y agrega los archivos a la Lista de Permitidos.
    • Si un archivo fue puesto en cuarentena como resultado de una acción de Poner Archivo en Cuarentena, seleccione Retirar Archivo de la Cuarentena.
      Esta acción retira de la cuarentena el archivo en este indicador en el host, y agrega el archivo a la Lista de Permitidos.
  12. Haga clic en Ejecutar Acción.
    TDR envía un mensaje al Host Sensor para retirar el archivo de la cuarentena.

Retirar un Archivo de la Cuarentena desde la Página Hosts

Para encontrar el indicador y retirar un archivo de la cuarentena:

  1. Iniciar Sesión en TDR.
  2. Seleccione Monitorizar > Detección de Amenazas.
  3. En la sección ThreatSync, seleccione Hosts.
  4. Seleccione el intervalo de fechas para el periodo de tiempo en que el archivo fue puesto en cuarentena.
  5. En el cuadro de texto Criterio de búsqueda, escriba el nombre de host.
  6. Para ver incidentes con cualquier puntuación, haga clic en Icono de Filtrar. Seleccione Despejar.
    El filtro de puntuación predeterminado se borra.
  7. Para expandir los detalles del incidente, haga clic en .
    Se abre la lista de indicadores para el host.

Screen shot of an expanded indicator with a quarantined file

  1. En la lista de indicadores del incidente, en la parte superior de la columna Puntuación, configure el filtro para mostrar solo incidentes con una puntuación de 1. Haga clic en Aplicar.
    Aparecen los indicadores para las acciones completadas con éxito.
  2. Busque el indicador para el archivo puesto en cuarentena con éxito.
  3. En la columna Acciones Manuales, haga clic en Seleccionar Acción.
    Se abre el cuadro de diálogo Acciones Manuales.

Screen shot of the Machine Guided Actions dialog box for a quarantined file

El cuadro de diálogo Acciones Manuales para un indicador de Poner Archivo en Cuarentena incluye una casilla de selección de Deshacer.

Screen shot of the Manual Actions dialog box with the Unquarantine HRP action selected

El cuadro de diálogo Acciones Manuales para un indicador HRP incluye una casilla de selección de Retirar Archivo de la Cuarentena de HRP.

  1. En el cuadro de diálogo Acciones Manuales, puede seleccionar estas acciones:
    • Para retirar un archivo de la cuarentena, marque la casilla de selección Deshacer para ese archivo.
      Esta opción retira de la cuarentena el archivo especificado en este indicador del host, y agrega el archivo a la Lista de Permitidos.
    • Para un indicador de Host Ransomware Prevention, si desea retirar de la cuarentena todos los archivos en cuarentena incluidos en este indicador, marque la casilla de selección Retirar HRP de la Cuarentena.
      Esta opción retira de la cuarentena todos los archivos relacionados con la acción HR, y los agrega a la Lista de Permitidos.
  2. Para ejecutar las acciones seleccionadas, haga clic en Ejecutar las Acciones Seleccionadas.
    TDR envía un mensaje al Host Sensor para retirar el archivo de la cuarentena.
  3. Haga clic en Cerrar.

Después de ejecutar la acción para retirar un archivo de la cuarentena, la columna Acción Solicitada/Resultado muestra la acción Retirar Archivo de la Cuarentena y el resultado En Curso. Después de que el archivo ha sido retirado de la cuarentena, el resultado cambia a Exitoso.

Cuando ejecuta una acción para retirar un archivo de la cuarentena, el valor MD5 para ese archivo se agrega automáticamente a la Lista de Permitidos como anulación de la firma. Si la acción de cuarentena falla porque el archivo ya no existe en el host, el valor MF5 para ese archivo aún se agrega a la Lista de Permitidos. Para más información sobre la Lista de Permitidos, consulte Configurar las Anulaciones de Firmas de TDR.

Ver También

Administrar los Indicadores de TDR

Acerca de las Puntuaciones de Amenaza de TDR

Acciones de Remediación y Puntuaciones de Amenaza de TDR