Aplica A: ThreatSync+ NDR
ThreatSync+ NDR incluye políticas y zonas predeterminadas que puede habilitar y personalizar.
Cuando habilita una política predeterminada o edita una política o zona predeterminada, ThreatSync+ NDR crea una copia privada para usted. Las actualizaciones realizadas por WatchGuard en la definición de una política predeterminada que haya habilitado no afectan a su copia. Si desea volver a la definición de la política predeterminada, elimine su copia de la política. Para más información, vaya a Acerca de las Políticas y Zonas de ThreatSync+.
Políticas Predeterminadas
ThreatSync+ incluye estas políticas predeterminadas:
| Nombre de la Política | Categoría | Desde la Zona | Hacia la Zona | Descripción |
|---|---|---|---|---|
| Actividad hacia Sitios de Redes Sociales | Sitios Prohibidos | Interno | Sitios de Redes Sociales | Detectar la comunicación con un sitio de redes sociales prohibido. |
| Detectar tráfico interno hacia o desde Facebook | Sitios Prohibidos | Interno | Dominios de Facebook | Detectar la comunicación con Facebook. |
| Active Directory a Externo | Filtración de Datos | Active Directory | Externa | Detecta cuando los Servidores de Active Directory se comunican de forma incorrecta con el mundo exterior en puertos distintos de 53, 80 o 443. |
| Activo Crítico hacia o desde Facebook | Sitios Prohibidos | Activos Críticos | Dominios de Facebook | Detecta cuando un activo crítico se comunica con Facebook. |
| Actividad entre Desarrollo y Producción | Activos Críticos | Desarrollo | Producción | Detecta cuando los sistemas de desarrollo no autorizados se comunican con los sistemas de producción. |
| Actividad hacia Países Bloqueados | Países Prohibidos | Interno | Países Prohibidos | Detecta el tráfico hacia países incluidos en la zona de Países Prohibidos. |
| Actividad Anómala hacia o desde Países Bloqueados | Países Prohibidos | Interno | Países Prohibidos | Sepa cuando se detectan eventos anómalos al comunicarse con países de la zona de Países Prohibidos. |
| Tráfico Telnet Interno a Activos Críticos | Activos Críticos | Interno | Activos Críticos | Sepa cuándo se detecta tráfico Telnet sin cifrar en sus sistemas críticos. |
| Detectar Grandes Volúmenes a Sitios para Compartir Archivos | Sitios Prohibidos | Interno | Sitios para Compartir Archivos | Detecta cuando se envían más de 40 KB a un sitio público para compartir archivos. |
Bloquear Exfiltración a través de Puertos Comunes | Activos Críticos | Externa | Pruebas de MITRE ATT&CK | Detecta cuando un activo crítico se comunica externamente a través de puertos comunes que deberían estar bloqueados por la política. |
Bloquear Exfiltración a través de Eliminar Puertos de la Capa de Servicio | Activos Críticos | Externa | Pruebas de MITRE ATT&CK | Detecta cuando un activo crítico se comunica externamente a través de puertos de servicios de aplicaciones que la política debería bloquear. |
Tráfico Externo a Externo No Anticipado | Externa | Externa | Tráfico No Autorizado | Detecta cuándo se observa tráfico público en la red interna. |
RDP de Externo a Interno | Externa | Interno | Perímetro Seguro | Detecta cuándo hay conexiones entrantes del Protocolo de Escritorio Remoto (RDP) desde una dirección IP externa. |
Nuevo RDP de Externo a Interno | Interno | Externa | Perímetro Seguro | Detecta cuándo hay nuevas conexiones RDP entrantes desde una dirección IP externa. Esta política solo se activa cuando se detecta una conexión RDP entrante desde un sistema externo recién descubierto. Utilice esta política en lugar de la política existente RDP de Externo a Interno cuando tenga conexiones RDP periódicas entrantes desde una ubicación externa de confianza. |
Cambio Inusual en la Actividad de Conversación | Todas las Direcciones IP Internas | Todos los Dominios Externos | Actividad Inusual | Se ha detectado un cambio inusual en el perfil de actividad de conversación, tal y como indica la proporción promedio de tráfico entrante y saliente. Esto podría indicar que un sistema se está utilizando para un fin diferente, ya sea de forma intencionada o maliciosa. |
Conexión a un Nuevo Dominio desde un Activo Crítico | Activo Crítico | Todos los Dominios Externos | Nueva Conexión | Un Activo Crítico de su red se ha conectado a un dominio por primera vez. Podría ser inusual que un activo crítico interactúe con un dominio externo con el que nunca se ha comunicado antes. |
Duración Inusual de la Conexión Saliente | Todas las Direcciones IP Internas | Todas las Direcciones IP Externas | Tráfico No Autorizado | Se detectó una conexión saliente de una duración inusual desde dentro de su red. Las conexiones largas pueden indicar una actividad automatizada no autorizada que podría suponer una amenaza. |
Tráfico Entrante del Servidor Web desde Internet | Todos los Dominios Externos | Todas las Direcciones IP Internas | Tráfico No Autorizado | Se detectaron conexiones entrantes en puertos que los servidores web suelen utilizar. No es habitual que un servidor web esté funcionando en las organizaciones y subredes internas configuradas. |
Cambio inusual en la combinación de tráfico | Todas las Direcciones IP Internas | Todos los Dominios Externos | Actividad Inusual | Se detectó un cambio inusual en el perfil de actividad del tráfico, según lo indica el tamaño promedio de los paquetes de tráfico en ambas direcciones. Esto podría indicar que un sistema se está utilizando para un fin diferente, ya sea de forma intencionada o maliciosa. |
SSH Saliente No Autorizado | Todas las Direcciones IP Internas | Todos los Dominios Externos | Tráfico No Autorizado | Se detectó una conexión SSH no autorizada desde un dispositivo interno a un dominio externo. |
Recuento inusual de conexiones de Interno a Externo | Todas las Direcciones IP Internas | Todas las Direcciones IP Internas | Tráfico No Autorizado | El recuento de conexiones desde una dirección IP interna a un dominio externo varía considerablemente con respecto a la actividad habitual. Esto podría indicar una actividad no autorizada hacia un destino inusual. |
| Conexión Desde un Nuevo Dominio Externo a Interno | Todos los Dominios Externos | Todas las Direcciones IP Internas | Nueva Conexión | Un dominio remoto se conectó a un dispositivo de su red por primera vez. Puede ser inusual que se inicien conexiones desde un dominio externo, especialmente aquellos que no se han conectado anteriormente. |
| Balizamiento a Través de API Web | Todas las Direcciones IP Internas | Todas las Direcciones IP Externas | Comando y Control | Se detectó una posible actividad de baliza automatizada a través de un servicio web de terceros entre una dirección IP de su red y una ubicación remota. Esto podría indicar una actividad de comando y control no autorizada. |
| Recuento inusual de conexiones desde Activos Críticos a Externos | Activo Crítico | Todos los Dominios Externos | Tráfico No Autorizado | El recuento de conexiones desde un Activo Crítico a un dominio externo varía considerablemente con respecto a la actividad habitual. Esto podría indicar una actividad no autorizada hacia un destino inusual. |
| Duración Inusual de la Conexión Entrante | Todas las Direcciones IP Internas | Todas las Direcciones IP Externas | Tráfico No Autorizado | Se detectó una conexión entrante de una duración inusualmente larga desde una dirección IP externa a un dispositivo dentro de su red. Las conexiones largas pueden indicar una actividad automatizada no autorizada que podría suponer una amenaza. |
| Actividad Inusualmente Alta desde Activos Críticos a Externos | Activo Crítico | Todos los Dominios Externos | Filtración de Datos | Se detectó un volumen o distribución inusualmente alto de actividad desde un Activo Crítico a un dominio externo. |
Intentos de RDP de Interno a Interno | Todas las Direcciones IP Internas | Todas las Direcciones IP Internas | Actividad Inusual | Detecta cuando se intenta establecer sesiones RDP fallidas dentro de su red entre dos direcciones IP internas. |
Intentos de RDP de Externo a Interno | Todas las Direcciones IP Externas | Todas las Direcciones IP Internas | Actividad Inusual | Detecta cuando se intenta establecer sesiones RDP fallidas en su red desde una dirección IP externa. |
| Intentos de SSH de Interno a Interno | Todas las Direcciones IP Internas | Todas las Direcciones IP Internas | Actividad Inusual | Detecta cuando se intentan establecer sesiones SSH fallidas dentro de su red entre dos direcciones IP internas. |
| Intentos de SSH de Externo a Interno | Todas las Direcciones IP Externas | Todas las Direcciones IP Internas | Actividad Inusual | Detecta cuando se intentan establecer sesiones SSH fallidas en su red desde una dirección IP externa. |
Interrupción del Servicio de Seguridad | Todos los Activos Internos | Todas las Organizaciones Externas | Continuidad del Servicio | Se interrumpió un servicio de seguridad que utiliza uno de los nodos internos. Esta política se activa en el evento Interrupción Detectada en el Estado en la Actividad del Servicio de Seguridad. |
Zonas Predeterminadas
Las zonas se clasifican como internas o externas.
Las zonas internas incluyen:
- Todos los nodos internos
- Assets
- Organizaciones
- Direcciones IP
Las zonas externas incluyen:
- Todos los nodos externos
- Países
- Localidades
- Organizaciones
- Dominios
- Direcciones IP
ThreatSync+ incluye estas zonas internas predeterminadas:
| Nombre de la Zona Interna | Tipo de Zona | Detalles | Descripción |
|---|---|---|---|
| Desarrollo | Activo | La etiqueta es Desarrollo | Todos los activos a los que se asignó la etiqueta Desarrollo. |
| Active Directory | Activo | El rol es Active Directory | Todos los activos a los que se asignó el rol ACTIVE_DIRECTORY. |
| Todas las Direcciones IP Internas | Todos | Todos los nodos identificados como Internos. | |
| Activos Críticos | Activo | La etiqueta es Activo Crítico | Todos los activos a los que se asignó la etiqueta Activo Crítico. |
| Producción | Todos | Todos los activos a los que se asignó la etiqueta Producción. | |
| Todos los Activos Internos | Activo | Todos los activos que están definidos. |
ThreatSync+ incluye estas zonas externas predeterminadas:
| Nombre de la Zona Externa | Tipo de Zona | Detalles | Descripción |
|---|---|---|---|
| Todos los Dominios Externos | Todos | Todos los dominios identificados como Externos. | |
| Todas las Direcciones IP Externas | Todos | Todas las direcciones IP identificadas como Externas. | |
| Sitios para Compartir Archivos | Dominio | Una lista estática de dominios para compartir archivos | Una lista de nombres de dominio. Para que se detecten, deben ser nombres válidos en el feed IP2Location que utiliza ThreatSync+. |
| Países Prohibidos | País | Una lista estática de nombres de países | Una lista de nombres de países. Para que se detecten, deben ser nombres válidos en el feed IP2Location que utiliza ThreatSync+. |
| Sitios de Redes Sociales | Dominio | Una lista estática de dominios de sitios de redes sociales | Una lista de nombres de dominio. Para que se detecten, deben ser nombres válidos en el feed IP2Location que utiliza ThreatSync+. |
| Dominio de Facebook | Dominio | Una lista estática de dominios propiedad de Facebook | Una lista de nombres de dominio. Para que se detecten, deben ser nombres válidos en el feed IP2Location que utiliza ThreatSync+. |
| Todas las Organizaciones Externas | Organización | Todos los nombres de organizaciones externas. |