Aplica A: ThreatSync+ NDR, ThreatSync+ SaaS
Las alertas de política le notifican cualquier actividad no autorizada o inesperada en su red. Cuando configura las políticas de ThreatSync+ para reflejar las políticas de acceso de su organización, cada alerta de política que recibe indica un incumplimiento de política que podría suponer una amenaza para su organización.
Políticas Predeterminadas de ThreatSync+ NDR
Cuando configura ThreatSync+ NDR por primera vez, se activa de forma predeterminada un subconjunto de políticas. Estas se identifican con la etiqueta Nivel 1 y generan automáticamente alertas de política. Aproximadamente 30 de las más de 75 políticas disponibles se incluyen en el Nivel 1. Estas alertas de política predeterminadas reflejan las amenazas y vulnerabilidades que son más comunes y más fáciles de remediar. Para más información, vaya a Políticas de Nivel 1 de ThreatSync+ NDR.
Políticas Predeterminadas de ThreatSync+ SaaS
Cuando instala por primera vez una integración de ThreatSync+ SaaS con Microsoft 365, se activan siete políticas de forma predeterminada. Estas se identifican con la etiqueta Nivel 1 y generan automáticamente alertas de política. Para más información, vaya a Políticas de Nivel 1 para ThreatSync+ SaaS — Microsoft 365.
Para las alertas de política basadas en el aprendizaje automático, ThreatSync+ crea un valor de referencia para la actividad y genera una alerta de política solo cuando el tráfico varía con respecto a este valor de referencia. Si recibe demasiadas alertas de política o desea cambiar la sensibilidad a las amenazas, puede ajustar sus políticas. Para más información, vaya a Ajuste de Política.
Monitorizar Alertas de Política
Las alertas de política se muestran en la página Alertas de Política de ThreatSync+. La página Alertas de Política de ThreatSync+ proporciona una lista centralizada de alertas de política para que los operadores las revisen y respondan. Para responder a las alertas de política, puede bloquear manualmente dispositivos o bloquear el acceso no autorizado, y ajustar sus políticas para ignorar actividades futuras previstas.
También puede configurar notificaciones por correo electrónico para la creación de alertas de política. Para más información, vaya a Configurar Alertas y Reglas de Notificación de ThreatSync+.
La página Alertas de Política de ThreatSync+ muestra estos detalles:
- Estado — Estado de la política. El estado puede ser En Vivo o No Activo. Si hace clic en En Vivo, el estado cambia a No Activa y la política se desactiva. Si hace clic en No Activo, el estado cambia a En Vivo y la política se activa.
- Nombre de la Política — Nombre de la política. Haga clic en el nombre de la política para ver la página Detalles de la Alerta de Política.
- Etiquetas — Etiquetas que usted define y aplica para organizar sus dispositivos, subredes y organizaciones.
- Puntuación de Amenaza — Puntuación de amenaza de la alerta de política. La lista de alertas de política está ordenada de forma predeterminada según la puntuación de amenaza más alta.
- Alertas — La cantidad de alertas de política para una política específica. Haga clic en el número de alerta para ver la página Detalles de la Alerta de Política.
- Importancia — Una clasificación que usted asigna para indicar el valor que tiene este dispositivo para su organización. El nivel de importancia debe reflejar el impacto que tendría para su organización si este dispositivo se daña o se pierde. Este valor se utiliza para calcular el nivel de riesgo de un activo junto con la detección de amenazas avanzada de ThreatSync+.
- Referencias ATT&CK® — Muestra un tipo de MITRE ATT&CK y un enlace, si está disponible.
- Descripción — Una descripción de la alerta de política.
Para monitorizar alertas de política:
- Seleccione Monitorizar > ThreatSync+ > Alertas de Política.
Se abre la página Alertas de Política de ThreatSync+. - Para ver alertas de política específicas:
- Para ver alertas de política específicas, haga clic en la alerta de política. Para más información, vaya a Ver Detalles de una Alerta de Política.
Cambiar el Intervalo de Fechas
De forma predeterminada, la lista de alertas de política muestra las alertas de política de los últimos siete días. Puede cambiar la fecha para ver alertas de política de diferentes fechas.
Para filtrar la lista de alertas de política por fecha:
- Haga clic en una fecha en el widget de fecha para uno de estos períodos de tiempo:
- 24 horas
- 7 días
- 30 días
- 90 días
- Personalizado
- Si selecciona Personalizado, especifique una fecha y hora de inicio, y una fecha y hora de finalización para el período de tiempo personalizado.
Ordenar y Filtrar la Lista de Alertas de Política
De forma predeterminada, la lista de alertas de política muestra las alertas de política con la puntuación de amenaza más alta, ordenadas en orden descendente, de modo que las alertas de política más críticas aparecerán al principio de la lista.
Para personalizar las alertas de política que se muestran, puede filtrar la lista de políticas por tipos de estado, etiquetas o mediante una búsqueda por palabra clave.
Para ordenar la lista de alertas de política, haga clic en el nombre de una columna para ordenar la lista de alertas de política por esa columna.
Para filtrar la lista de alertas de política:
- En la lista desplegable Tipos de estado, seleccione si desea filtrar la lista de alertas de política por el estado En Vivo o No Activo, o ambas opciones.
- En la lista desplegable Etiquetas, seleccione las etiquetas que desea incluir en los resultados filtrados.
- En el cuadro de texto Filtrar Alertas de Política, ingrese una palabra clave para filtrar los resultados.
Ver Detalles de una Alerta de Política
Para ver más detalles sobre una alerta de política específica, haga clic en el nombre de la política.
La página Detalles de la Alerta de Política incluye los siguientes detalles:
- Información sobre la zona de origen y destino
- Descripción de la alerta de política
- Cómo funciona la alerta de política
- Cómo ajustar la alerta de política
- Importancia
- Puntuación de amenaza
- Etiquetas asociadas a la política
Puede modificar los detalles de configuración de la política desde la lista desplegable Refinar Opciones de Política:
- Refinar Disparadores de Actividad
- Refinar Zonas de Origen
- Refinar Zonas de Destino
Para más información, vaya a Configurar Políticas de ThreatSync+.
Tres pestañas muestran información detallada sobre las alertas de política:
- Gráficos de Política — Muestra gráficos que varían según el tipo de alerta de política. Los detalles pueden incluir la distribución de las alertas de política por origen, hora, destino y puerto de aplicación. Señale el gráfico para ver los detalles y realizar acciones. Por ejemplo, haga clic en Excluir de la Política para excluir un dispositivo de una política, o bien haga clic en Ver Detalles del Tráfico para ver información sobre el tráfico anómalo.
- Alertas — Muestra detalles de la zona y la puntuación de amenaza sobre la alerta de política. Puede filtrar la pestaña para que muestre gráficos de Zona de Origen o Zona de Destino, o bien filtrar la lista por puntuación de amenaza. Haga clic en el nombre de la zona de origen para ver los detalles y la actividad del dispositivo.
- Comentarios — Muestra un historial de comentarios asociados con la alerta de política. Haga clic en Comentario para agregar un comentario a una alerta de política.
Desactivar una Política
Para desactivar una política directamente desde la página Alertas de Política, haga clic en En Vivo junto al nombre de la política para cambiar el estado a No Activo.
Configurar Políticas de ThreatSync+
Acerca de las Políticas y Zonas de ThreatSync+