Descubrimiento de Activo de ThreatSync+ NDR

Aplica A: ThreatSync+ NDR

La detección de activos permite a ThreatSync+ NDR identificar y aprender de forma rápida y sencilla los sistemas críticos de su red. Cada 12 horas, ThreatSync+ NDR realiza un inventario de su red y observa el tráfico de aplicaciones que se detecta en cada dirección IP. Identifica automáticamente las subredes, así como los servidores y dispositivos de red importantes, y los muestra en la página Descubrir. También ofrece sugerencias que le permiten configurar nuevos activos y actualizar los existentes para reflejar mejor la actividad de su red.

Cuando configura por primera vez ThreatSync+ NDR, pueden pasar de dos a tres días hasta que los activos se muestren en la página Descubrir. También puede importar activos críticos desde sus sistemas de administración de activos. Para obtener información sobre cómo agregar e importar dispositivos manualmente, vaya a Administrar Dispositivos.

Screenshot of the Discover page with Devices tab selected by default

Administrar Activos Sugeridos en la Página Descubrir

En la página Descubrir, puede aceptar los dispositivos y subredes descubiertos para identificarlos como activos importantes de la red. Si ignora un activo, este se oculta de la lista, pero ThreatSync+ NDR sigue monitorizando el tráfico de red del dispositivo.

Los círculos rojos muestran el número total de activos descubiertos — dispositivos y subredes — que deben aceptarse o ignorarse. A medida que acepta o ignora los activos descubiertos, el número del círculo rojo disminuye.

Le recomendamos que acepte los activos descubiertos. Cuanto más sepa ThreatSync+ NDR sobre los activos críticos de su red, más eficaz será a la hora de alertarle sobre amenazas importantes.

Para aceptar o ignorar todos los activos de la tabla, desde WatchGuard Cloud:

  1. Seleccione Monitorizar > ThreatSync+.
  2. Seleccione Descubrir.
  3. Marque la casilla de selección en el encabezado para seleccionar todas las filas.
  4. En la esquina superior derecha, haga clic en
  5. Seleccione Aceptar Seleccionados o Ignorar Seleccionados.
    Si acepta varios activos, ThreatSync+ NDR proporciona automáticamente un nombre predeterminado para el activo en función de uno de los roles y su dirección IP.

Aceptar y Configurar Dispositivos Individuales

En la página Descubrir, la pestaña Dispositivos muestra una lista de dispositivos estáticos que ThreatSync+ NDR detectó en la red. ThreatSync+ NDR asigna automáticamente nombres, roles e importancia a los dispositivos descubiertos. Cuando acepta un dispositivo descubierto, puede editar los valores del dispositivo.

Screenshot of the Discover page with Devices tab selected by default

En la columna Sugerencia, ThreatSync+ NDR también sugiere una acción que se debe realizar para el dispositivo descubierto. La sugerencia y la acción recomendada pueden incluir:

  • Agregar Dispositivo — Acepte el dispositivo para identificarlo y etiquetarlo. Se detectó tráfico que indica que el activo sirve una aplicación que representa uno o varios de los roles predefinidos de ThreatSync+ NDR.
  • Agregar Rol — Acepte el dispositivo y agregue un rol adicional a un activo existente en función del tráfico que ThreatSync+ observó.
  • Eliminar Rol — Acepte el dispositivo y elimine un rol existente de un activo existente en función del tráfico que ThreatSync+ NDR observó.

Para ver los detalles del tráfico de la dirección IP, haga clic en la dirección IP. Para más información, vaya a Investigar el Tráfico de ThreatSync+.

Para ver los detalles del dispositivo, haga clic en el nombre del dispositivo. Para más información, vaya a Ver Detalles del Dispositivo.

Para aceptar o ignorar un dispositivo descubierto, desde WatchGuard Cloud:

  1. Seleccione Monitorizar > ThreatSync+.
  2. Seleccione Descubrir.
  3. En la pestaña Dispositivos, haga clic en en la fila de un dispositivo descubierto.

Screenshot of the Accept or Ignore options of a discovered device on the Discover page

  1. Seleccione Aceptar o Ignorar.
    Si selecciona Ignorar, el estado cambia de Nuevo a Ignorado. Si selecciona Aceptar, se abre el cuadro de diálogo Actualizar un Dispositivo. Continúe con el paso siguiente.

Screenshot of the Update a Device dialog box

  1. Edite la información del dispositivo:
    • Nombre — Ingrese un nombre del dispositivo. El nombre del dispositivo se utiliza para mostrar información sobre este nodo en incumplimientos, Smart Alerts y tráfico. Ingrese un nombre que sea fácil de entender en lugar de la dirección IP.
    • Descripción — Ingrese una descripción del dispositivo para ayudar a identificarlo.
    • Roles — Seleccione el rol que desempeña el dispositivo en la red (por ejemplo, servidor de base de datos SQL). El rol se utiliza para identificar qué servicios de aplicación proporciona este nodo de modo que ThreatSync+ pueda identificar mejor las amenazas.
    • Etiquetas — Ingrese etiquetas para organizar el dispositivo en grupos. Las etiquetas le ayudan a asociar identificadores adicionales con sus nodos para que pueda agruparlos y crear políticas en torno a conjuntos dinámicos de sistemas.
    • Importancia — Seleccione una calificación para indicar el valor que tiene este dispositivo para su organización (de Muy Bajo a Muy Alto). El nivel de importancia debe reflejar el impacto que tendría para su organización si este dispositivo se daña o se pierde. Este valor se utiliza para calcular el nivel de riesgo de un activo junto con la detección de amenazas avanzada de ThreatSync+.
    • Direcciones — Ingrese las direcciones IP del dispositivo. El dispositivo puede tener múltiples direcciones IP para diferentes interfaces de red. Haga clic en para agregar más de una dirección IP.
  2. Haga clic en Actualizar.
    El estado cambia de Nuevo a Aceptado. ThreatSync+ agrega los dispositivos aceptados a la lista de dispositivos administrados. Para más información, vaya a Administrar Dispositivos.

Aceptar y Configurar Subredes Descubiertas

En la pestaña Subredes, puede revisar y aceptar rangos de direcciones IP y subredes descubiertas por ThreatSync+. Esto puede ayudarle a definir y etiquetar áreas importantes de su red interna.

Screenshot of the Subnets tab on the Discover page

En la columna Sugerencia, ThreatSync+ también sugiere una acción que se debe realizar para la subred descubierta. La sugerencia y la acción recomendada pueden incluir:

  • Agregar Subred — Identifique y etiquete un nuevo activo porque se detectó tráfico que indica que el activo sirve a una aplicación que representa uno o varios roles predefinidos de ThreatSync+.

Para aceptar o ignorar las subredes descubiertas, desde WatchGuard Cloud:

  1. Seleccione Monitorizar > ThreatSync+.
  2. Seleccione Descubrir.

Screenshot of the Subnets tab on the Discover page that shows details of the Subnets list

  1. En la pestaña Subredes, haga clic en en la fila de una subred descubierta.
  2. Seleccione Aceptar o Ignorar.
    Si selecciona Ignorar, el estado cambia de Nuevo a Ignorado. Si selecciona Aceptar, se abre el cuadro de diálogo Agregar una Subred o Rango de Direcciones. Continúe con el paso siguiente.

Screenshot of the Add a Subnet or Address Range dialog box

  1. Edite los valores asignados.
    • Subred y Máscara (CIDR) — Seleccione esta opción para identificar la subred y la máscara.
    • Rango de IP — Seleccione esta opción para identificar el rango de direcciones IP.
      • IP Inicial — Ingrese la dirección IP inicial del rango.
      • IP Final — Ingrese la dirección IP final del rango.
    • Organización — Ingrese un nombre para la subred o el rango de direcciones IP.
    • Tipo de dispositivo — Seleccione el tipo de dispositivo (por ejemplo, una computadora, un servidor o una puerta de enlace).
    • Excluir — Marque esta casilla de selección para excluir la subred o el rango de direcciones IP de la monitorización del tráfico. Para más información, vaya a Configurar Subredes y Organizaciones.
    • Etiquetas de Organización — Ingrese etiquetas para organizar la subred en grupos. Las etiquetas le ayudan a asociar identificadores adicionales con sus nodos para que pueda agruparlos y crear políticas en torno a conjuntos dinámicos de sistemas.
  2. Haga clic en Guardar.
    El estado cambia de Nuevo a Aceptado.

Si es necesario, puede editar una subred o un rango de direcciones IP aceptados en la página Subredes y Organización. Para más información, vaya a Configurar Subredes y Organizaciones.

Aceptar un Activo Ignorado Anteriormente

Para mostrar y aceptar un activo que se ignoró anteriormente, desde WatchGuard Cloud:

  1. Seleccione Monitorizar > ThreatSync+.
  2. Seleccione Descubrir.
  3. Marque la casilla de selección Mostrar Elementos Ignorados en la esquina superior derecha.

Screen shot of ignored devices in ThreatSync+ NDR

  1. Marque la casilla de selección del activo ignorado.
  2. Haga clic en en la esquina superior derecha.
  3. Seleccione Mostrar Seleccionados.
    El estado cambia a Nuevo.
  4. Haga clic en en la fila del activo que desea aceptar.

Screen shot of menu item to accept ignored devices in ThreatSync+ NDR

  1. Haga clic en Aceptar.

Temas Relacionados

Configurar Subredes y Organizaciones

Inicio Rápido — Configurar ThreatSync+ NDR