Configurar Alertas y Reglas de Notificación de ThreatSync+

Aplica A: ThreatSync+ NDR, ThreatSync+ SaaS

Puede configurar WatchGuard Cloud para enviar notificaciones por correo electrónico cuando ThreatSync+ detecte una amenaza o vulnerabilidad. Para configurar notificaciones por correo electrónico, especifique qué colectores SaaS, alertas de política y Smart Alerts generan una notificación cuando se crean o actualizan.

Configurar Alertas en ThreatSync+

En la página Alertas, puede especificar qué tipos de colectores, acciones de remediación, colectores SaaS, políticas y Smart Alert se incluyen en las reglas de notificación que configura para generar alertas y enviar notificaciones por correo electrónico desde WatchGuard Cloud.

Las alertas disponibles en la sección Remediación dependen de su tipo de licencia. La función Bloquear Dirección IP está disponible con una licencia de ThreatSync+ NDR y la función Bloquear Usuario está disponible con una licencia de ThreatSync+ SaaS.

La sección Colectores SaaS solo está disponible con una licencia de ThreatSync+ SaaS. Para más información, vaya a Acerca de las Licencias de ThreatSync+ SaaS.

Para configurar las Alertas de ThreatSync+ desde WatchGuard Cloud:

  1. Seleccione Configurar > ThreatSync+ > Alertas.
    Se abre la página Alertas.

Screenshot of the Alerts page in the Configure menu in ThreatSync+ NDR

  1. En la sección Colectores, seleccione las opciones de colector que desea incluir en sus alertas.
    • Registros DHCP Recibidos por Dirección IP de Origen
      • Operativo — Marque esta casilla de selección para enviar una notificación cuando el colector se recupere de un evento de fallo y cargue correctamente los datos en ThreatSync+.
      • Fallo — Marque esta casilla de selección para enviar una notificación cuando ocurra un evento de fallo. Se produce un evento de fallo cuando el colector no carga datos en ThreatSync+ durante 120 minutos.
        • Tiempo de Supresión — ThreatSync+ seguirá generando eventos de fallo cada 120 minutos hasta que el colector remoto se recupere y reanude la carga de datos. Para especificar el tiempo entre notificaciones de fallos sucesivos, configure el tiempo de supresión.
    • Latido del Colector Remoto
      • Operativo — Seleccione esta opción para enviar una notificación cuando el colector remoto se recupere de un evento de fallo. Esta notificación indica que el colector remoto está nuevamente en línea y funcionando.
      • Fallo — Seleccione esta opción para enviar una notificación cuando ocurra un evento de fallo. ThreatSync+ genera un evento de fallo cuando no se recibe ningún mensaje de latido durante 20 minutos.
        • Tiempo de Supresión —ThreatSync+ seguirá generando eventos de fallo cada 20 minutos hasta que el colector remoto se recupere y se reciba un mensaje de latido. Para especificar el tiempo entre notificaciones de fallos sucesivos, configure el tiempo de supresión.
        • Alerta tras pérdida de latido para — Para especificar la hora para generar una notificación tras una pérdida de latido, configure la hora.
    • Registros NetFlow Recibidos
      • Operativo — Seleccione esta opción para enviar una notificación cuando el colector remoto se recupere de un evento de fallo y se reciban registros NetFlow.
      • Fallo — Seleccione esta opción para enviar una notificación cuando ocurra un evento de fallo. ThreatSync+ genera una notificación de fallo cuando no se reciben registros de NetFlow durante 20 minutos.
        • Tiempo de Supresión —ThreatSync+ seguirá generando eventos de fallo cada 20 minutos hasta que el colector se recupere y se reciba mensajes de NetFlow. Para especificar el tiempo entre notificaciones de fallos sucesivos, configure el tiempo de supresión.
    • Registros NetFlow Recibidos por Dirección IP de Origen
      • Operativo — Seleccione esta opción para enviar una notificación cuando el colector se recupere de un evento de fallo y cargue correctamente los datos en ThreatSync+.
      • Fallo — Seleccione esta opción para enviar una notificación cuando ocurra un evento de fallo. ThreatSync+ genera una notificación de fallo cuando el colector no ha cargado datos en ThreatSync+ durante 20 minutos.
        • Tiempo de Supresión — ThreatSync+ seguirá generando eventos de fallo cada 20 minutos hasta que el colector remoto se recupere y reanude la carga de datos. Para especificar el tiempo entre notificaciones de fallos sucesivos, configure el tiempo de supresión.
  2. En la sección Colectores SaaS, seleccione las opciones de Latido de Microsoft 365 que desea incluir en sus alertas.
    • Operativo — Seleccione esta opción para enviar una notificación cuando el colector SaaS se recupere de un evento de fallo. Esta notificación indica que el colector SaaS volvió a conectarse y ejecutarse correctamente.
    • Fallo — Seleccione esta opción para enviar una notificación cuando ocurra un evento de fallo. ThreatSync+ SaaS genera una notificación de fallo cuando no se recibe ningún mensaje de latido del colector SaaS durante 120 minutos.
      • Tiempo de Supresión — ThreatSync+ seguirá generando eventos de fallo cada 120 minutos hasta que el colector SaaS se recupere. Para especificar el tiempo entre notificaciones de fallos sucesivos, configure el tiempo de supresión.
  3. En la sección Remediación, seleccione las casillas de selección junto a las acciones de bloqueo que desea incluir en sus alertas.
    • Bloquear Dirección IP
      • La dirección IP se bloquea automáticamente
      • La dirección IP se bloquea manualmente
      • La dirección IP se desbloquea manualmente
    • Bloquear Usuario
      • El usuario se bloquea automáticamente
      • El usuario se bloquea manualmente
      • El usuario se desbloquea manualmente
  4. En la sección Políticas, seleccione las casillas de selección junto a las políticas que desea incluir en sus alertas. Para recibir alertas, asegúrese de que el estado de la política sea En Vivo. Para agrupar sus alertas, seleccione una de estas opciones en la lista desplegable Predeterminado (Política y Origen):
    • Política — Todas las notificaciones se agrupan bajo la misma política.
    • Política y Origen — Todas las notificaciones se agrupan si el nombre de la política y del origen son los mismos.
    • Política, Origen y Destino — Todas las notificaciones se agrupan si el nombre de la política, del origen y del destino son los mismos.
      • En la sección Duración, seleccione un tiempo comprendido entre una hora y 12 horas para la duración de las alertas agrupadas. El valor predeterminado es de una hora.

La opción agrupación de alertas de Política, Origen y Destino no está disponible para las alertas de política de ThreatSync+ SaaS.

  1. En la sección Smart Alerts, para cada tipo de Smart Alert que desee incluir en sus alertas, seleccione una o ambas casillas de selección Creado y Actualizado.

Configurar Reglas de Notificación en WatchGuard Cloud — ThreatSync+ NDR

En WatchGuard Cloud, puede configurar reglas de notificación para generar alertas y enviar notificaciones por correo electrónico sobre la actividad de ThreatSync+. Las reglas de notificación le facilitan la respuesta a las amenazas emergentes en su red.

En la página Reglas, puede ver todas las reglas creadas para su cuenta. De forma predeterminada, existen varias reglas predefinidas. Puede editar las reglas predeterminadas para cambiar el nombre, la descripción y el método de entrega. Si selecciona Correo Electrónico como método de entrega, también puede cambiar la frecuencia de las alertas. Hay algunas reglas de sistema predeterminadas que no puede eliminar.

Screen shot of WatchGuard Cloud Notifications page, Rules

Tipos de Notificación de ThreatSync+ NDR

Cada regla de notificación en WatchGuard Cloud utiliza un tipo de notificación que especifica la acción o el evento que hace que la regla genere una alerta.

Alerta de Política

Genera una alerta cuando se genera una nueva alerta de política para su cuenta.

Smart Alert Creada

Genera una alerta cuando se crea una Smart Alert.

Smart Alert Actualizada

Genera una alerta cuando se actualiza una Smart Alert.

No hay Registros DHCP Recibidos de un Origen

Genera una alerta cuando no se reciben registros DHCP de un origen durante 120 minutos.

Registros DHCP Recibidos de un Origen

Genera una alerta cuando se reciben registros DHCP de un origen.

No hay Latido del Colector NDR Detectado

Genera una alerta cuando no se recibe un mensaje de latido de un colector de ThreatSync+ NDR durante 20 minutos.

Latido del Colector NDR Detectado

Genera una alerta cuando se recibe un mensaje de latido de un colector de ThreatSync+ NDR después de un fallo de colector.

No hay Registros NetFlow Recibidos

Genera una alerta cuando los dispositivos de red de ThreatSync+ NDR no reciben registros de NetFlow durante 20 minutos.

Registros NetFlow Recibidos

Genera una alerta cuando se reciben registros NetFlow.

No hay Registros NetFlow Recibidos de un Origen

Genera una alerta cuando no se reciben registros NetFlow de una fuente durante 20 minutos.

Registros NetFlow Recibidos de un Origen

Genera una alerta cuando se reciben registros NetFlow de un origen.

Las Direcciones IP se Bloquean Automáticamente

Genera una alerta cuando las direcciones IP son bloqueadas automáticamente por una política de ThreatSync+ NDR.

Las Direcciones IP se Bloquean Manualmente

Genera una alerta cuando las direcciones IP se bloquean manualmente.

Las Direcciones IP se Desbloquean Manualmente

Genera una alerta cuando las direcciones IP se desbloquean manualmente.

Agregar una Regla de Notificación para ThreatSync+ NDR

Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Configurar Reglas de Notificación para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.

Para agregar una nueva regla de notificación, desde WatchGuard Cloud:

  1. Seleccione Administración > Notificaciones.
  2. Seleccione la pestaña Reglas.

Screen shot of WatchGuard Cloud Notifications page, Add Rule

  1. Haga clic en Agregar Regla.
  2. En la página Agregar Regla, en el cuadro de texto Nombre, ingrese un nombre para su regla como ayuda para identificarla.
  3. En la lista desplegable Origen de la Notificación, seleccione ThreatSync+ NDR.
  4. En la lista desplegable Tipo de Notificación, seleccione la acción o evento que hace que esta regla genere una alerta.
  5. (Opcional) Ingrese una descripción para su regla.
  6. De la lista desplegable Método de Entrega, seleccione una de las siguientes opciones:
    • Ninguna — La regla genera una alerta que aparece en la página Alertas en WatchGuard Cloud.
    • Correo Electrónico — La regla genera una alerta que aparece en la página Alertas en WatchGuard Cloud y envía un correo electrónico de notificación a los destinatarios especificados.
  7. Si selecciona Correo Electrónico como método de entrega:
    1. Desde la lista desplegable Frecuencia, configure cuántos mensajes de correos electrónicos la regla puede enviar por día:
      • Para enviar un mensaje de correo electrónico para cada alerta que la regla genera, seleccione Enviar Todas las Alertas.
      • Para restringir cuántos mensajes de correo electrónico la regla envía cada día, seleccione Enviar como Máximo. En el cuadro de texto Alertas por Día, ingrese el número máximo de mensajes de correo electrónico que esta regla puede enviar cada día. Puede especificar un valor de hasta 20.000 alertas por día.
    2. En el cuadro de texto Asunto, ingrese la línea de asunto del mensaje de correo electrónico que esta regla envía cuando genera una alerta. Puede ingresar un máximo de 78 caracteres.
    3. En el cuadro de texto Destinatarios, ingrese la dirección de correo electrónico para cada persona que desea que reciba un mensaje de correo electrónico cuando esta regla genera una alerta. Puede ingresar varias direcciones de correo electrónico. Presione Enter después de cada dirección de correo electrónico, o bien separe las direcciones de correo electrónico con un espacio, coma o punto y coma. Seleccione la casilla de selección JSON si desea recibir notificaciones por correo electrónico en formato JSON.

    Screen shot of the Delivery Method section for ThreatSync+ on the Add Rules page in WatchGuard Cloud

  8. Haga clic en Agregar Regla.

Para eliminar una regla de notificación, haga clic en Screen shot of the Delete icon en la fila de la regla que desee eliminar.

Para obtener más información sobre cómo administrar alertas, vaya a Administrar Alertas de WatchGuard Cloud.

Configurar Reglas de Notificación en WatchGuard Cloud — ThreatSync+ SaaS

En WatchGuard Cloud, puede configurar reglas de notificación para generar alertas y enviar notificaciones por correo electrónico sobre la actividad de ThreatSync+. Las reglas de notificación le facilitan la respuesta a las amenazas emergentes en su red.

En la página Reglas, puede ver todas las reglas creadas para su cuenta. De forma predeterminada, existen varias reglas predefinidas. Puede editar las reglas predeterminadas para cambiar el nombre, la descripción y el método de entrega. Si selecciona Correo Electrónico como método de entrega, también puede cambiar la frecuencia de las alertas. Hay algunas reglas de sistema predeterminadas que no puede eliminar.

Screen shot of WatchGuard Cloud Notifications page, Rules

Tipos de Notificación de ThreatSync+ SaaS

Cada regla de notificación en WatchGuard Cloud utiliza un tipo de notificación que especifica la acción o el evento que hace que la regla genere una alerta.

Alerta de Política SaaS

Genera una alerta cuando ThreatSync+ SaaS genera una nueva alerta de política para su cuenta.

Latido Detectado

Genera una alerta cuando ThreatSync+ SaaS detecta un latido de su integración SaaS. Los colectores SaaS se comunican con Microsoft 365 cada 30 minutos para confirmar que la integración funciona correctamente.

Latido No Detectado

Genera una alerta cuando ThreatSync+ SaaS no detecta un latido de su integración SaaS durante 120 minutos.

Las Cuentas de Usuario se Deshabilitan Automáticamente

Genera una alerta cuando una cuenta de usuario de Microsoft 365 se deshabilita automáticamente mediante una política de ThreatSync+ SaaS.

Las Cuentas de Usuario se Deshabilitan Manualmente

Genera una alerta cuando se deshabilita manualmente una cuenta de usuario de Microsoft 365.

Las Cuentas de Usuario se Habilitan Manualmente

Genera una alerta cuando se habilita manualmente una cuenta de usuario de Microsoft 365.

Agregar una Regla de Notificación para ThreatSync+ SaaS

Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Configurar Reglas de Notificación para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.

Para agregar una nueva regla de notificación, desde WatchGuard Cloud:

  1. Seleccione Administración > Notificaciones.
  2. Seleccione la pestaña Reglas.

Screen shot of WatchGuard Cloud Notifications page, Add Rule

  1. Haga clic en Agregar Regla.
  2. En la página Agregar Regla, en el cuadro de texto Nombre, ingrese un nombre para su regla como ayuda para identificarla.
  3. En la lista desplegable Origen de la Notificación, seleccione ThreatSync+ SaaS.
  4. En la lista desplegable Tipo de Notificación, seleccione la acción o evento que hace que esta regla genere una alerta.
  5. (Opcional) Ingrese una descripción para su regla.
  6. De la lista desplegable Método de Entrega, seleccione una de las siguientes opciones:
    • Ninguna — La regla genera una alerta que aparece en la página Alertas en WatchGuard Cloud.
    • Correo Electrónico — La regla genera una alerta que aparece en la página Alertas en WatchGuard Cloud y envía un correo electrónico de notificación a los destinatarios especificados.
  7. Si selecciona Correo Electrónico como método de entrega:
    1. Desde la lista desplegable Frecuencia, configure cuántos mensajes de correos electrónicos la regla puede enviar por día:
      • Para enviar un mensaje de correo electrónico para cada alerta que la regla genera, seleccione Enviar Todas las Alertas.
      • Para restringir cuántos mensajes de correo electrónico la regla envía cada día, seleccione Enviar como Máximo. En el cuadro de texto Alertas por Día, ingrese el número máximo de mensajes de correo electrónico que esta regla puede enviar cada día. Puede especificar un valor de hasta 20.000 alertas por día.
    2. En el cuadro de texto Asunto, ingrese la línea de asunto del mensaje de correo electrónico que esta regla envía cuando genera una alerta. Puede ingresar un máximo de 78 caracteres.
    3. En el cuadro de texto Destinatarios, ingrese la dirección de correo electrónico para cada persona que desea que reciba un mensaje de correo electrónico cuando esta regla genera una alerta. Puede ingresar varias direcciones de correo electrónico. Presione Enter después de cada dirección de correo electrónico, o bien separe las direcciones de correo electrónico con un espacio, coma o punto y coma. Seleccione la casilla de selección JSON si desea recibir notificaciones por correo electrónico en formato JSON.

    Screen shot of the Delivery Method section for ThreatSync+ on the Add Rules page in WatchGuard Cloud

  8. Haga clic en Agregar Regla.

Para eliminar una regla de notificación, haga clic en Screen shot of the Delete icon en la fila de la regla que desee eliminar.

Para obtener más información sobre cómo administrar alertas, vaya a Administrar Alertas de WatchGuard Cloud.

Temas Relacionados

Administrar Alertas de WatchGuard Cloud

Ver Registros de Auditoría

Configurar ThreatSync+