Configurar Políticas de ThreatSync+

Aplica A: ThreatSync+ NDR, ThreatSync+ SaaS

Las políticas de ThreatSync+ monitorizan continuamente su red para detectar actividades que violen las políticas de su organización. Las políticas detectan vulnerabilidades y amenazas en su red y generan alertas de política si se detecta alguna actividad no autorizada.

Para minimizar el tiempo de respuesta y maximizar la protección, es importante configurar y ajustar las políticas para que:

  • Refleje las políticas de seguridad de su organización.
  • Aplique políticas únicamente a partes de su red que rigen sus políticas organizacionales.
  • Refleje la gravedad apropiada para su organización.

Para comenzar a utilizar las políticas de ThreatSync+, le recomendamos que:

  • Comience con un conjunto pequeño y manejable de políticas.
  • Ajuste estas políticas para que solo reciba alertas que sean procesables; es decir, alertas a las que pueda responder y remediar para que no se repitan.
  • Cree políticas adicionales que amplíen la protección de su red y ajústelos para evitar que se generen demasiadas alertas.

Para obtener recomendaciones sobre cómo ajustar sus políticas, vaya a Ajuste de Política.

Le recomendamos que espere entre dos y tres días antes de configurar las políticas para que ThreatSync+ pueda monitorizar y aprender sobre su red.

Habilitar Políticas Predeterminadas de ThreatSync+

ThreatSync+ NDR incluye más de 100 políticas predeterminadas que puede habilitar. Debido a que algunas políticas predeterminadas pueden no ser apropiadas para su red o sus políticas de seguridad, la mayoría de las políticas predeterminadas están deshabilitadas de forma predeterminada. Solo un subconjunto de políticas de nivel 1 está habilitado de forma predeterminada y genera alertas automáticamente. Para obtener una lista de las políticas predeterminadas, vaya a Políticas y Zonas Predeterminadas.

Las políticas predeterminadas disponibles dependen de su licencia. Para obtener información sobre las políticas de ThreatSync+ SaaS, vaya a Políticas de Nivel 1 para ThreatSync+ SaaS — Microsoft 365.

Si habilita un gran número de políticas predeterminadas, es posible que reciba más alertas de las que puede responder. Si habilita muy pocas políticas, es posible que pierda alertas importantes sobre posibles amenazas en su red.

Para habilitar una política de ThreatSync+ predeterminada:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Seleccione Configurar > ThreatSync+ > Políticas.
  3. Junto a la política predeterminada que desea habilitar, haga clic en No Activo.
    El estado de la política cambia a En Vivo.

Screenshot of the Manage Policies page in ThreatSync+ NDR

Agregar Políticas Personalizadas de ThreatSync+ — ThreatSync+ NDR

Puede crear una nueva política de ThreatSync+ y personalizar las definiciones de políticas para su red. Cada política evalúa todos los registros de tráfico o eventos entre una zona de origen y una zona de destino, y activa una alerta cuando se cumplen determinadas condiciones. Estas condiciones son disparadores de actividad.

Para más información, vaya a Evaluación de Política.

Para agregar una política de ThreatSync+ NDR personalizada:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Seleccione Configurar > ThreatSync+ > Políticas.
  3. En la página Administrar Políticas de ThreatSync+, haga clic en Nueva Política.
    Se abre la página Crear Nueva Política.

Screenshot of the Create a New Policy page in ThreatSync+ NDR

  1. (Opcional) En el cuadro de texto ID de Política, ingrese un ID de política.

El ID de política identifica de forma única la política. Si crea un informe de objetivo de defensa personalizado con la licencia de Compliance Reporting, es posible que desee hacer referencia a una política personalizada en uno de los controles definidos en el objetivo de defensa. Utilice este ID de política para identificar la política de forma única. Si no ingresa un ID de política, ThreatSync+ lo asignará por usted. Para obtener más información sobre Compliance Reporting, vaya a Acerca de WatchGuard Compliance Reporting.

  1. En el cuadro de texto Nombre de la Política, ingrese un nombre para la nueva política.
  2. (Opcional) Ingrese una descripción.
  3. En el cuadro de texto Etiquetas, seleccione o cree etiquetas para aplicar a su política.
  4. Haga clic en Disparadores de Actividad.
    La sección Disparadores de Actividad se expande.
  5. En la sección Disparadores de Actividad, seleccione el tipo de actividad para la que desea configurar la alerta: Tráfico, Anomalías o Eventos de Servicio.
  6. En la lista desplegable Importancia, seleccione la importancia que desea asignar a su actividad: Muy Bajo, Bajo, Medio, Alto, Muy Alto.
  7. Si solo desea recibir alertas para tráfico específico, seleccione Alertar sobre Tráfico Específico y especifique las condiciones de la alerta.
  8. Si solo desea recibir alertas para anomalías específicas, seleccione Alerta sobre Anomalías Específicas y especifique las condiciones de la alerta.
  9. Si solo desea recibir alertas para eventos de servicio específicos, seleccione Alerta sobre Eventos de Servicio Específicos y especifique las condiciones de la alerta.
  10. Haga clic en Remediación.
    La sección Remediación se expande.

Screenshot of the Remediation section for a ThreatSync+ NDR policy

  1. Marque la casilla de selección Si se incumple esta política, bloquear automáticamente las IP externas involucradas si desea habilitar la remediación automática.

Para habilitar o deshabilitar la remediación automática para una política de ThreatSync+ NDR existente, haga clic en El icono Editar junto a la política y, en la sección Remediación, marque o desmarque la casilla de selección Si se incumple esta política, bloquear automáticamente las IP externas involucradas.

  1. Haga clic en Flujo de Tráfico.
    Se amplía la sección Flujo de Tráfico.
  2. Configure los ajustes de origen y destino del flujo de tráfico. Si desea crear una nueva zona, haga clic en Crear una Zona para ir a la página Zonas. Para más información, vaya a Administrar Zonas de ThreatSync+.
  3. Revise los detalles de su política.
  4. Active su política o guárdela como borrador para revisarla más tarde.

Agregar Políticas Personalizadas de ThreatSync+ — ThreatSync+ SaaS

Puede crear una nueva política de ThreatSync+ y personalizar las definiciones de políticas para su red. Cada política evalúa los eventos de usuario y activa una alerta cuando se cumplen determinadas condiciones. Estas condiciones son disparadores de actividad.

Para agregar una política de ThreatSync+ SaaS personalizada:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Seleccione Configurar > ThreatSync+ > Políticas.
  3. En la página Administrar Políticas de ThreatSync+, haga clic en Nueva Política.

    Se abre la página Crear Nueva Política.

Screenshot of the Create a New Policy page for a ThreatSync+ SaaS policy

  1. (Opcional) En el cuadro de texto ID de Política, ingrese un ID de política.

El ID de política identifica de forma única la política. Si crea un informe de objetivo de defensa personalizado con la licencia de Compliance Reporting, es posible que desee hacer referencia a una política personalizada en uno de los controles definidos en el objetivo de defensa. Utilice este ID de política para identificar la política de forma única. Si no ingresa un ID de política, ThreatSync+ lo asignará por usted. Para obtener más información sobre Compliance Reporting, vaya a Acerca de WatchGuard Compliance Reporting.

  1. En el cuadro de texto Nombre de la Política, ingrese un nombre para la nueva política.
  2. Ingrese una descripción.
  3. En el cuadro de texto Etiquetas, seleccione la etiqueta Office 365 o cree etiquetas para aplicar a su política.
  4. Haga clic en Disparadores de Actividad.
    La sección Disparadores de Actividad se expande.
  5. En la sección Disparadores de Actividad, seleccione Eventos de Usuario.
  6. En la lista desplegable Importancia, seleccione la importancia que desea asignar a su actividad: Muy Bajo, Bajo, Medio, Alto, Muy Alto.
  7. Si desea recibir alertas para todos los eventos de usuario, seleccione Alerta sobre cualquier evento de usuario.
  8. Si solo desea recibir alertas para eventos de usuarios específicos, seleccione Alerta sobre eventos de usuarios específicos y especifique las condiciones de la alerta.
  9. Haga clic en Zona de Usuario.
    La sección Zona de Usuario se expande.

Screenshot of the User Zone section for a SaaS policy

  1. Configure los ajustes de la Zona de Usuario. Si desea crear una nueva zona, haga clic en Crear una Zona para ir a la página Zonas. Para más información, vaya a Administrar Zonas de ThreatSync+.
  1. Haga clic en Remediación.
    La sección Remediación se expande.

Screenshot of the Remediation section for a SaaS policy

  1. Marque la casilla de selección Si se incumple esta política, deshabilitar automáticamente los usuarios de la zona asociada si desea habilitar la remediación automática.

Para habilitar o deshabilitar la remediación automática de una política existente de ThreatSync+ SaaS, haga clic en El icono Editar junto a la política y, en la sección Remediación, seleccione o desmarque la casilla de selección Si se infringe esta política, deshabilitar automáticamente los usuarios de la zona asociada.

  1. Revise los detalles de su política.
  2. Active su política o guárdela como borrador para revisarla más tarde.

Activar o Desactivar Políticas de ThreatSync+

En la página Administrar Políticas, puede activar o desactivar una o más políticas. Cuando activa una política, ThreatSync+ detecta violaciones de las políticas de acceso de su organización y genera alertas de política para notificarle sobre dichas violaciones.

Las políticas predeterminadas son similares a las plantillas. Cuando activa o edita una política predeterminada, ThreatSync+ guarda una copia de la política para usted. Si elimina su copia, todos los cambios que haya realizado en la definición de la política se descartarán y la política volverá a la definición de la política predeterminada. Para más información, vaya a Acerca de las Políticas y Zonas de ThreatSync+.

Para activar o desactivar una política de ThreatSync+, desde la página Administrar Políticas:

  1. Seleccione una o varias políticas que desee editar.
  2. Haga clic en Icono de Menú Más.
  3. Seleccione Activar Seleccionados o Desactivar Seleccionados.

Screenshot of the More Menu on the Manage Policies page

  1. También puede hacer clic en En Vivo en la columna Estado para desactivar la política y cambiar el estado a No Activo o hacer clic en No Activo para activar la política y cambiar el estado a En Vivo.

Editar la Escala de Gravedad de Alertas de Política

Para las alertas de política basadas en aprendizaje automático, ThreatSync+ crea un valor de referencia de actividad y genera alertas solo cuando el tráfico varía con respecto a este valor de referencia. Por ejemplo, un gran volumen inesperado de datos enviados a Internet genera una alerta porque varía sustancialmente de la actividad de referencia.

Si desea generar menos alertas, puede ajustar la sensibilidad de las alertas para que la detección sea menos sensible.

Screenshot of the Policy Alert Sensitivity Scale

Para editar la Escala de Gravedad de Alertas para una política específica de ThreatSync+:

  1. En la página Administrar Políticas de ThreatSync+, haga clic en El icono Editar junto a la política que desea editar.
    Se abre la página Detalles de la Política.
  2. En la sección Disparadores de Actividad, junto a Escala de Gravedad de Alertas, haga clic en El icono Editar.
    Se abre el cuadro de diálogo Editar Escala de Gravedad de Alertas.

Screenshot of the Edit Alert Severity Scale dialog box

  1. Para cambiar la Escala de Gravedad de Alertas, arrastre el control deslizante hasta un nuevo valor. Para generar menos alertas, seleccione un valor más alto. Para generar más alertas, seleccione un valor más bajo.
  2. Haga clic en Guardar.

También puede editar la Escala de Gravedad de Alertas en la página Tráfico cuando se seleccionan tipos de anomalías específicos con el Origen de Datos de Eventos. Para más información, vaya a Investigar el Tráfico de ThreatSync+.

Temas Relacionados

Acerca de las Políticas y Zonas de ThreatSync+

Acerca de las Alertas de Política

Configurar ThreatSync+