Revisar los Detalles de una Smart Alert

Aplica A: ThreatSync+ NDR

Cada Smart Alert proporciona información detallada sobre la amenaza e incluye un resumen de la Smart Alert, así como gráficos y métricas que muestran las actividades específicas realizadas por el actor principal. Revise las Smart Alerts abiertas para determinar si la Smart Alert indica una amenaza real para su red.

La página Smart Alerts y Detalles de Smart Alerts está disponible con una licencia de ThreatSync+ NDR. Para más información, vaya a Acerca de las Licencias de ThreatSync+ NDR.

Para revisar los detalles de una Smart Alert:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Seleccione Monitorizar > ThreatSync+ > Smart Alerts.
    Se abre la página Smart Alerts y muestra una lista de Smart Alerts abiertas.
  3. Haga clic en la Smart Alert que desea revisar.
    Se abre la página Detalles de Smart Alert con la pestaña Resumen seleccionada de forma predeterminada.

Screenshot of the Smart Alert Details page for suspicious endpoint activity

Para más información sobre la página Detalles de Smart Alert, vaya a estas secciones:

Ver Actividad de Smart Alert

Para ver información detallada sobre el tráfico de la Smart Alert, haga clic en Ver Actividad de Smart Alert. Para más información sobre la investigación del tráfico, vaya a Investigar el Tráfico de ThreatSync+.

Pestaña Resumen

La pestaña Resumen de la página de detalles de la Smart Alert proporciona una instantánea de la actividad de la amenaza. La pestaña Resumen incluye widgets con información resumida sobre el actor principal y la actividad asociada que este realizó en su red.

Actor Principal

Un actor principal es el dispositivo que está asociado con la actividad maliciosa. El actor principal puede ser el dispositivo responsable de la amenaza o podría ser el dispositivo comprometido que un atacante utiliza para llevar a cabo el comportamiento malicioso. El widget Actor Principal de la pestaña Resumen puede incluir la dirección IP, indicadores clave y un enlace a alertas de políticas relacionadas. Para más información sobre el actor principal, haga clic en el nombre, la dirección de correo electrónico o la dirección IP en el widget Actor Principal.

Para obtener información sobre las alertas de política, vaya a Acerca de las Alertas de Política.

En Qué Fijarse

La sección En Qué Fijarse muestra información importante sobre el tipo de Smart Alert y recomendaciones sobre cómo revisar y diagnosticar la amenaza. Cada Smart Alert muestra la sección En Qué Fijarse en la pestaña Resumen y también en cada pestaña de tipo de comportamiento que describe la actividad de la Smart Alert específica. Le recomendamos que comience la revisión de la Smart Alert con esta sección para obtener más información sobre el tipo de amenaza y revisar las sugerencias para la remediación.

Este ejemplo es para una Smart Alert de Sondeo o Reconocimiento:

Screenshot of the What to Look For section for a Probing or Reconnaissance behavior type

Indicadores de Comportamiento

Los indicadores de comportamiento representan el tipo de actividad relacionada con la amenaza que generó una Smart Alert. Los indicadores de comportamiento se incluyen en la pestaña Resumen y también en todas las pestañas de tipo de comportamiento de la Smart Alert. Todos los tipos de comportamiento muestran información sobre el actor principal y el nivel de confianza de la amenaza.

Screenshot of the Behavior Indicators on the Smart Alert Details page

Las pestañas de tipo de comportamiento varían según el tipo de Smart Alert y pueden incluir:

  • Escaneo de Puertos Horizontal Interno a Externo — Muestra detalles sobre las direcciones IP que escaneó el actor principal e incluye el número de direcciones IP escaneadas, la organización y detalles sobre qué puerto participó en la actividad de escaneo.
  • Tunelización DNS Sospechosa — El gráfico Anomalías del Tráfico DNS muestra las anomalías registradas cuando el actor principal envió solicitudes de DNS.
  • Escaneo de Puertos Horizontal — Muestra detalles sobre las subredes y las organizaciones escaneadas e incluye métricas sobre la tasa de errores de conexión y las solicitudes ICMP.
  • Escaneo de Puertos Vertical — Muestra detalles sobre los puertos conectados a una única dirección IP de destino e incluye métricas sobre la tasa de errores de conexión y los eventos de escaneo.
  • Transferencia de Datos de Gran Volumen de Interno a Externo — Muestra detalles sobre el tráfico de red sospechoso que sale de su red e incluye la organización de destino principal por volumen de tráfico, el volumen total de tráfico, los puertos afectados y la cantidad total de flujos con gran volumen hacia sistemas externos.

Indicadores Clave

Los indicadores clave le proporcionan más detalles sobre los comportamientos detectados y se muestran en todos los widgets de la pestaña Resumen, así como en todas las pestañas de tipos de comportamiento. Los detalles pueden incluir la organización involucrada, el dominio, los detalles del tráfico de red y los detalles de amenaza.

Recurrencia de Smart Alert

Una alerta que se repite con frecuencia puede ser simplemente la actividad de una aplicación aprobada en su red que sondea o se comunica de una manera que parece sospechosa. Muchos clientes de aplicaciones realizan escaneos de servidores que se parecen a escaneos de puertos maliciosos. Algunas aplicaciones realizan comunicaciones automáticas y habituales con servicios en la nube, como GitHub, que podrían parecer actividad de túneles de Comando y Control.

Gráficos y Mapas de Comportamiento

Los detalles de Smart Alert incluyen varios gráficos y mapas, y proporcionan detalles sobre el comportamiento por hora, actividad histórica y escala de tiempo.

  • Medidor de Comportamiento a lo Largo del Tiempo — Muestra los tipos de comportamiento asociados con la Smart Alert, la frecuencia del escaneo y cuánto tiempo tardó el escaneo.

Screenshot of the Behavior Count Over Time Chart

  • Mapa de Comportamiento — Muestra detalles sobre los vínculos entre el actor principal y los diferentes tipos de comportamiento. Puede señalar cada tipo de comportamiento y dirección IP para ver los detalles sobre el tipo de dispositivo, la organización o la ubicación del comportamiento.

Screenshot of the Behavior Map

  • Actividad — Muestra el historial del comportamiento e incluye el recuento de comportamientos, la seguridad, el estado y la información del usuario.

  • Escala de Tiempo — Muestra el orden en que se produjeron los comportamientos.

Screenshot of the behavior Timeline

  • Comentarios — Muestra los comentarios agregados por los operadores a la Smart Alert. Al revisar las Smart Alerts, puede agregar comentarios para documentar la actividad de las Smart Alerts y comunicarse con otros operadores. Para agregar un comentario a una Smart Alert, haga clic en Comentario.

Detalles del Comportamiento

Cada Smart Alert incluye una lista de detalles del comportamiento. Para ver información más detallada sobre un comportamiento específico en el panel lateral, haga clic en El icono de Lupa junto al comportamiento seleccionado.

Screenshot of the behavior details for a Horizontal Port Scan behavior type

El panel lateral muestra mapas y gráficos de comportamiento que detallan el comportamiento durante un período de tiempo específico. Los detalles del comportamiento varían según el tipo de comportamiento.

Por ejemplo, los detalles sobre un tipo de comportamiento de Tunelización DNS Sospechosa incluyen:

  • Actores Principales
  • Dispositivos Importantes Tunelizados
  • Tipo de Túnel Principal Sospechoso
  • Organización de Destino
  • Bytes Totales a Través del Túnel
  • Host de Destino

Para interactuar con los mapas de comportamientos y ver más detalles, señale o haga clic en diferentes secciones del mapa.

Screenshot of the behavior map that shows further details when you hover or click a section

Remediar Smart Alerts

A medida que revisa las Smart Alerts que detecta ThreatSync+ NDR y revisa los detalles de las Smart Alerts, puede decidir qué acciones tomar ante la amenaza. Si la Smart Alert es una amenaza real, le recomendamos que siga las recomendaciones de la sección En Qué Fijarse para abordar la amenaza.

Si la amenaza se origina fuera de su red, considere el uso de su firewall para bloquearla. Si la amenaza se origina dentro de su red, identifique los dispositivos afectados y elimínelos físicamente de la red. Si un dispositivo está en riesgo, es fundamental que no permita que infecte o ataque otros dispositivos.

Si determina que la actividad está autorizada o es inofensiva, puede cerrar la Smart Alert e indicar a ThreatSync+ NDR que no le notifique actividades similares en el futuro. Para más información, vaya a Cerrar una Smart Alert.

Cerrar una Smart Alert

Es importante cerrar una Smart Alert después de revisarla y remediarla. Esto le permite realizar un seguimiento más sencillo de las Smart Alerts abiertas y también permite a ThreatSync+ NDR realizar un seguimiento de la rapidez con la que completa el proceso de revisión y remediación. Dado que ThreatSync+ NDR aprende continuamente sobre su red, cuando cierra las Smart Alerts, proporciona información valiosa que ayuda a la IA de ThreatSync+ NDR a comprender mejor su red e interpretar futuras Smart Alerts.

Le recomendamos que establezca y configure el Informe de Resumen Ejecutivo para ver métricas sobre cuántas Smart Alerts están abiertas durante un período de tiempo específico y la rapidez con la que los operadores las abordan. Para más información, vaya a Informe de Resumen Ejecutivo de ThreatSync+ NDR.

Cuando cierre una Smart Alert, seleccione uno de estos motivos:

  • Anómala y No Autorizada — ThreatSync+ NDR identificó correctamente una actividad anómala y esta actividad no está autorizada en su red. Usted no reconoce la actividad como parte de su actividad empresarial autorizada.
  • Anómala, pero Autorizada — ThreatSync+ NDR identificó correctamente una actividad anómala, pero usted comprende el origen de la actividad y sabe que está autorizada en la red. Esto podría incluir actividades como pruebas de penetración autorizadas o escaneos de puertos.
  • Actividad Normal — Esta actividad es esperada en la red. Cuando cierre estas Smart Alerts, puede especificar que ThreatSync+ NDR debe suprimir alertas futuras. Por ejemplo, podría tratarse de una actividad normal de la aplicación, como escaneos de dispositivos de red o actividad automatizada de bots autorizados que podrían parecer un túnel.
  • Otro — No sabe qué es la Smart Alert. Podría tratarse de una amenaza, pero no puede determinar la causa raíz. Al cerrar estas Smart Alerts, puede proporcionar más detalles para que ThreatSync+ NDR pueda comprender mejor si se trata de una amenaza o no.

Evitar Smart Alerts Repetidas para Actividades Autorizadas

Al cerrar una Smart Alert, ThreatSync+ NDR podría hacerle otras preguntas para aprender de sus acciones. Sus respuestas pueden ayudar a reducir la cantidad de alertas que recibe que no son amenazas.

Para reducir la cantidad de Smart Alerts que son falsos positivos, marque la casilla de selección Ignorar Smart Alerts Similares cuando cierre una Smart Alert. Esto crea una regla que se muestra en la página Controles de Smart Alerts. Para más información, vaya a Configurar los Controles de Smart Alerts de ThreatSync+ NDR.

Para controlar aún más las similitudes que se utilizan para seleccionar las Smart Alerts que desea ignorar, seleccione Mostrar más opciones avanzadas y especifique propiedades específicas.

Screenshot of the Close a Smart Alert Wizard that shows the Include similar Smart Alerts check box

Cuando marca la casilla de selección Ignorar Smart Alerts Similares, ThreatSync+ NDR:

  • Cierra cualquier Smart Alert abierta con las mismas propiedades.
  • Cierra las Smart Alerts futuras con las mismas propiedades que se detectan antes de que se le notifique.
  • Cierra las Smart Alerts futuras con las propiedades que especifique en la sección de opciones avanzadas.

Temas Relacionados

Acerca de las Smart Alerts

Acerca de las Alertas de Política

Acerca de la Página Resumen de ThreatSync+

Monitorizar ThreatSync+