Políticas de Nivel 1 de ThreatSync+ NDR

Aplica A: ThreatSync+ NDR

ThreatSync+ NDR incluye más de 100 políticas predeterminadas que puede habilitar. Debido a que algunas políticas predeterminadas pueden no ser apropiadas para su red o sus políticas de seguridad, la mayoría de las políticas predeterminadas están deshabilitadas de forma predeterminada. Solo un subconjunto de políticas de Nivel 1 está habilitado de forma predeterminada y genera alertas automáticamente.

Le recomendamos que comience con estas políticas de Nivel 1 cuando monitorice su red en busca de amenazas.

Cada sección de este tema incluye:

  • Una descripción de una política de Nivel 1
  • Cómo funciona la política para detectar amenazas
  • Cómo puede ajustar la política para que funcione de forma más eficaz en su red

Para obtener detalles específicos sobre las políticas de Nivel 1, vaya a estas secciones:

AA21-356A — Detectar Posibles Ataques Log4Shell a Nuevas Organizaciones a Través de LDAP o RMI

Tal y como se recomienda en la Alerta AA21-356A de la CISA, esta política identifica la actividad LDAP y RMI en sitios con los que nunca se comunicó anteriormente.

Cómo Funciona

La vulnerabilidad Log4j, también conocida como Log4Shell, es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a algunas versiones de la biblioteca Java Apache Log4j 2. Esta vulnerabilidad permite a los atacantes obtener el control total de los sistemas afectados, incluida la capacidad de:

  • Robar contraseñas e inicios de sesión
  • Extraer datos
  • Infectar redes con software malicioso
  • Iniciar ransomware

La vulnerabilidad se debe a un fallo en la forma en que la Interfaz de Nombres y Directorios de Java (JNDI) resuelve las variables. Los atacantes pueden aprovechar la vulnerabilidad enviando una solicitud especialmente diseñada a un sistema vulnerable, lo que provoca que el sistema ejecute código arbitrario.

Esta solicitud diseñada tiene una conexión de shell inversa con la máquina del atacante, y ThreatSync+ NDR monitoriza esta conexión inversa cuando el tráfico enviado a través de los puertos LDAP o RMI va a un dominio público de Internet con el que la dirección de origen no se comunicó anteriormente. Este tráfico debe ser saliente. La definición de la política incluye todos los puertos LDAP y RMI comunes (puertos 389, 636, 1636, 1099, 1389, 3268, 3269).

Cómo Ajustarla

Esta alerta puede representar un falso positivo si usted tiene un servidor LDAP o un Servidor de Dominio Active Directory en la nube pública. En ese caso, puede excluir estas direcciones IP públicas de la política agregándolas a la lista de exclusión de la Zona de Destino. Para más información, vaya a Configurar Políticas de ThreatSync+.

AA21-356A — Detectar Posibles Ataques Log4Shell a Través de LDAP o RMI

Tal y como se recomienda en la Alerta AA21-356A de la CISA, esta política identifica la actividad LDAP y RMI hacia direcciones IP maliciosas conocidas.

Cómo Funciona

Esta política genera una alerta cuando el tráfico enviado a través de los puertos LDAP o RMI (puertos 389, 636, 1636, 1099, 1389, 3268, 3269) se dirige a cualquier dirección IP de la lista de direcciones IP maliciosas de ThreatSync+ NDR. Esta lista es una colección de feeds de amenazas de direcciones de Internet públicas que se han notificado como maliciosas.

Cómo Ajustarla

Esta política no requiere ajuste.

AA21-356A — Detectar un Volumen Inusual de Actividad DNS, LDAP o RMI Debido a Posibles Ataques Log4Shell

Tal y como se recomienda en la Alerta AA21-356A de la CISA, esta política identifica grandes volúmenes de actividad LDAP y RMI.

Cómo Funciona

Esta política genera una alerta cuando sale de la red un volumen excesivo de tráfico DNS, LDAP o RMI (puertos 53, 389, 636, 1636, 1099, 1389, 3268, 3269). Esto podría indicar un ataque Log4J

Cómo Ajustarla

Esta alerta puede representar un falso positivo si usted tiene un servidor LDAP o un Servidor de Dominio Active Directory en la nube pública. En ese caso, puede excluir estas direcciones IP públicas de la política. Para ello, agréguelas a la lista de exclusión de la Zona de Destino. Para más información, vaya a Configurar Políticas de ThreatSync+.

Active Directory a Externo

Esta política genera alertas cuando los servidores Active Directory se comunican de forma incorrecta con el mundo exterior en puertos distintos a los 53, 80, 123 o 443.

Los Controladores de Dominio de Microsoft Active Directory son recursos críticos y no deben utilizarse para la actividad general de los usuarios. Su uso debe restringirse únicamente a actividades autorizadas conocidas. Cualquier actividad que se desvíe de ello debe generar una alerta.

Cómo Funciona

Esta política está configurada para monitorizar la actividad saliente en cualquier puerto que no se utilice habitualmente para las funciones esperadas de los Controladores de Dominio de Microsoft Active Directory. Está diseñada para generar una alerta cuando se instalan aplicaciones rogue, cuando los usuarios ejecutan aplicaciones no autorizadas en la consola o cuando un atacante haya tomado el control.

Cómo Ajustarla

Pueden producirse alertas falsas si hay actividad autorizada en el servidor que no coincide con la lista de puertos de ThreatSync+ NDR. Si tiene una aplicación específica que desee permitir, puede agregarla a la definición de la política. Si hay un puerto en la definición que nunca espera que se utilice en su entorno, puede eliminarlo de la lista

Actividad Entre Desarrollo y Producción

Esta política genera alertas cuando los sistemas de desarrollo no autorizados se comunican con los sistemas de producción. Se trata de un control clásico de Separación de Funciones que garantiza que los usuarios que trabajan en un entorno de desarrollo no trabajen simultáneamente en el entorno de producción.

Cómo Funciona

La política requiere que las zonas integradas de Producción y Desarrollo estén configuradas para hacer referencia a las áreas en su red interna que contengan dispositivos de desarrollo y de producción.

Para incluir dispositivos en la Zona de Producción, etiquete cada dispositivo con la etiqueta Producción. Para la Zona de Desarrollo, utilice la etiqueta de dispositivo Desarrollo.

Si no etiqueta ningún dispositivo, esta política nunca activará ningún incumplimiento. Si la lista de dispositivos de producción y desarrollo es estática, puede establecer estas etiquetas manualmente o mediante una importación masiva de configuraciones de dispositivos.

Cómo Ajustarla

Si separa los entornos de desarrollo y producción mediante subredes independientes, le recomendamos lo siguiente:

  • Configure esas subredes como organizaciones internas en los Ajustes de Configuración de Subredes y Organizaciones.
  • Etiquete las organizaciones con las etiquetas “Producción” y “Desarrollo”.
  • Modifique las configuraciones de zona para incluir todos los dispositivos de las organizaciones que tengan esas etiquetas.

Para más información, vaya a Configurar Subredes y Organizaciones.

Actividad Desde Países de Alto Riesgo

Esta política genera alertas para el tráfico procedente de países de alto riesgo hacia dispositivos internos.

Cómo Funciona

Esta política genera alertas cuando ThreatSync+ NDR detecta cualquier actividad de tráfico iniciada desde países definidos en la zona de Países Prohibidos y enviada a cualquier dispositivo interno.

La zona de Países Prohibidos contiene una lista inicial de países que históricamente presentan un alto riesgo. Esto incluye a China, Rusia y otras naciones que algunos gobiernos han calificado como países que apoyan el terrorismo. Los países que presentan un alto riesgo para su entorno pueden variar. Para agregar y eliminar países adicionales en la lista de Países Prohibidos, edite la zona.

Cómo Ajustarla

Esta zona se comparte entre varias políticas, por lo que si su lista de países de alto riesgo es diferente para el tráfico entrante y saliente, puede crear una zona independiente para cada uno y definir la lista de países prohibidos con las definiciones de la política.

Para más información, vaya a Administrar Zonas de ThreatSync+.

Actividad Relacionada con Direcciones IP en la Lista de Bloqueos

Esta política genera alertas para el tráfico hacia o desde direcciones IP incluidas en la lista de bloqueos.

Cómo Funciona

ThreatSync+ NDR mantiene una lista de bloqueos de direcciones IP públicas de alto riesgo. Esta lista se actualiza periódicamente. Esta política compara continuamente las direcciones IP de todo el tráfico con la lista de bloqueos.

Esta política genera alertas cuando ThreatSync+ NDR detecta tráfico hacia o desde direcciones IP incluidas en la lista de bloqueos. Esta política monitoriza todo el tráfico desde la red interna (la zona de dispositivos internos) hacia cualquier dirección IP pública (toda la zona de dominios externos).

Cómo Ajustarla

Si hay partes de su red, como una red de invitados o un acceso público, en las que no desea monitorizar este tipo de actividad, puede excluir esas subredes internas u organizaciones de la zona de origen.

Dado que ThreatSync+ NDR mantiene el feed de direcciones IP de la lista de bloqueos, no puede editarlo ni sustituirlo directamente, pero puede definir excepciones dentro de la política y definir una lista de sus propias direcciones IP de alto riesgo y, a continuación, agregar las direcciones IP a la zona de destino.

También puede crear una política similar independiente para su propia lista de bloqueos. Para más información, vaya a Administrar Zonas de ThreatSync+.

Actividad Hacia Países de Alto Riesgo

Esta política genera alertas para el tráfico de dispositivos internos a países de alto riesgo.

Cómo Funciona

Esta política genera alertas cuando ThreatSync+ NDR detecta cualquier actividad de tráfico iniciada desde su red interna hacia países definidos en la zona Países Prohibidos.

La zona de Países Prohibidos contiene una lista inicial de países que históricamente presentan un alto riesgo. Esto incluye a China, Rusia y otras naciones que algunos gobiernos han calificado como países que apoyan el terrorismo.

Cómo Ajustarla

Los países que presentan un alto riesgo para su entorno pueden variar. Para agregar o eliminar países adicionales en la lista de Países Prohibidos, edite la zona.

Esta zona se comparte entre varias políticas, por lo que si su lista de países de alto riesgo es diferente para el tráfico entrante y saliente, puede crear una zona independiente para cada uno y definir la lista de Países prohibidos con las definiciones de la política.

Para más información, vaya a Administrar Zonas de ThreatSync+.

Actividad Hacia Sitios de Redes Sociales

Esta política genera alertas cuando alguien se comunica con un sitio de redes sociales prohibido.

Cómo Funciona

Esta política genera alertas cuando ThreatSync+ NDR detecta tráfico que fluye desde su red interna (la zona Todos los Dispositivos Internos) hacia cualquier dominio de sitio web definido en la zona Sitios de Redes Sociales.

Cómo Ajustarla

Si su organización no tiene restricciones de acceso a sitios de redes sociales, le recomendamos que desactive esta política.

Si la lista de sitios de redes sociales de la zona predefinida Sitios de Redes Sociales no coincide con su lista de sitios restringidos, edite la zona para que coincida con la lista de dominios no autorizados de su política de acceso a Redes Sociales. También le recomendamos que bloquee estos sitios en su firewall.

Si hay partes de su red a las que se les permite conectarse a estos sitios de redes sociales, puede excluir esas subredes de la zona de origen para no generar alertas sobre la actividad de estas subredes.

Si tiene diferentes políticas de acceso a Redes Sociales para diferentes partes de su red, es posible que tenga que definir varias políticas para configurar completamente las combinaciones necesarias de subredes y dominios de destino.

Actividad Anómala Desde Países de Alto Riesgo

Esta política genera alertas cuando se produce cualquier evento anómalo con la comunicación desde países de alto riesgo.

Esta política es diferente de la política de Actividad desde Países de Alto Riesgo. Además de verificar que el tráfico proviene de estos países de alto riesgo, esta política también requiere que se detecte actividad anómala en ese tráfico.

Cómo Funciona

ThreatSync+ NDR genera alertas de eventos anómalos, como, entre otros, una duración inusual de las conexiones entrantes y una alta tasa de paquetes entrantes procedentes de países de alto riesgo definidos en la zona Países Prohibidos.

Cómo Ajustarla

Puede agregar o eliminar países adicionales en la zona Países Prohibidos. También puede agregar excepciones para alertas falsas específicas. Para ello, agregue reglas de flujo de tráfico que incluyan o excluyan direcciones IP, países, localidades o dominios específicos.

Esta zona se comparte entre varias políticas, por lo que si la lista de países de alto riesgo es diferente para los países entrantes y salientes, puede crear una zona separada para cada uno y definir la lista de países de alto riesgo con la definición de la política.

Actividad Anómala Hacia Países de Alto Riesgo

Esta política genera alertas cuando se produce cualquier evento anómalo en la comunicación con países de alto riesgo.

Esta política es diferente de la política de Actividad hacia Países de Alto Riesgo. Además de verificar que el tráfico se dirige a estos países de alto riesgo, esta política también requiere que se detecte actividad anómala en ese tráfico.

Cómo Funciona

ThreatSync+ NDR busca para eventos anómalos, como, entre otros, una duración inusual de las conexiones salientes y una alta tasa de paquetes salientes desde países de alto riesgo definidos en la zona Países Prohibidos. Las alertas se generan cuando se produce una detección.

Cómo Ajustarla

Puede agregar o eliminar países adicionales en la zona Países Prohibidos. También puede agregar excepciones para alertas falsas específicas. Para ello, agregue reglas de flujo de tráfico que incluyan o excluyan direcciones IP, países, localidades o dominios específicos.

Esta zona se comparte entre varias políticas, por lo que si la lista de países de alto riesgo es diferente para los países entrantes y salientes, puede crear una zona separada para cada uno y definir la lista de países de alto riesgo con la definición de la política.

Balizamiento a Través de la API Web

Esta política genera alertas cuando se produce una posible actividad de balizamiento automatizada a través de un servicio web de terceros entre una dirección IP de su red y una ubicación remota. Esto podría indicar una actividad de Comando y Control no autorizada.

Cómo Funciona

Esta política genera alertas cuando ThreatSync+ NDR detecta una baliza o una carga en un ejecutable o programa que se comunica con el servidor de Comando y Control del atacante a través de un canal de comunicación habilitado para HTTPS desde un origen interno.

Cómo Ajustarla

Si usted permite que algunas ubicaciones remotas originen conexiones API éticas a sitios externos, incluso este comportamiento genuino podría generar alertas de política. Puede agregar excepciones para alertas falsas específicas. Para ello, agregue una regla de flujo de tráfico que incluya las ubicaciones remotas aprobadas en su entorno.

Comunicarse con Direcciones IP AA21-062A Sospechosas

Esta política genera alertas para las comunicaciones procedentes de un conjunto de direcciones IP que son conocidas por ser utilizadas por atacantes para ataques Log4J. Aunque están vinculadas a servidores privados virtuales (VPS) y redes privadas virtuales (VPN), los respondedores deben investigar estas direcciones IP en sus redes.

Cómo Funciona

Esta política genera alertas cuando ThreatSync+ NDR detecta una conexión entrante a Microsoft Exchange sin parches desde direcciones IP AA21-062A Sospechosas para explotar las vulnerabilidades RCE CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065 que permiten la ejecución remota de código.

Cómo Ajustarla

Esta política no se puede ajustar porque las direcciones IP AA21-062A Sospechosas son direcciones IP certificadas como maliciosas.

Detectar Grandes Volúmenes a Sitios para Compartir Archivos

Esta política genera alertas cuando se carga un gran volumen de datos en un sitio web para compartir archivos.

Cómo Funciona

Esta política genera alertas cuando se suben más de 40 KB en un período de 30 minutos a un dominio de intercambio de archivos web incluido en la zona de destino. Esto puede indicar que atacantes no autorizados o amenazas internas están exfiltrando datos no autorizados a un sitio público de intercambio de archivos.

Cómo Ajustarla

Esta política proporciona un mecanismo de prevención contra fugas de datos y monitoriza la exfiltración. Puede agregar o eliminar sitios de uso compartido de archivos adicionales en la zona de destino de la política.

Puede aumentar el umbral de volumen de datos en la configuración del disparador de la política si desea aumentar la sensibilidad.

Tráfico LLMNR Interno

Esta política genera alertas cuando el tráfico Link-local Multicast Name Resolution (LLMNR) (en el puerto 5355 UDP) pasa entre dos endpoints internos. Se trata de una Actividad de Puerto Innecesaria o Inesperada que debe bloquearse para evitar ataques de ransomware.

Cómo Funciona

Esta política ayuda a identificar los ataques de envenenamiento LLMNR y genera alertas cuando ThreatSync+ NDR detecta cualquier tráfico interno superior a 1 byte hacia el puerto UDP 5355. Durante los ataques de envenenamiento LLMNR, se espera que el tráfico del cliente al equipo del atacante sea superior a 1 byte.

LLMNR es el sucesor de NetBIOS. NetBIOS (Sistema básico de entrada/salida de red) es un protocolo antiguo que se utilizó en las primeras versiones de redes de Windows. NBT-NS es un componente de NetBIOS por TCP/IP (NBT) y se encarga del registro y la resolución de nombres. Al igual que LLMNR, NBT-NS es un protocolo de reserva cuando falla la resolución DNS. Permite la resolución de nombres locales dentro de una LAN, por lo que cuando deshabilita esta función en un entorno de Active Directory, mitiga las alertas. Sin embargo, si alguna aplicación está autorizada a utilizar los puertos LLMNR, puede excluir esos servidores de aplicaciones autorizados de la zona de destino.

Cómo Ajustarla

Si las aplicaciones están autorizadas a utilizar los puertos LLMNR, debe excluir esos servidores de aplicaciones autorizados de la zona de destino.

Tráfico mDNS Interno

Esta política genera alertas cuando se detecta tráfico del servicio de Nombre de Dominio Multicast (mDNS) (puerto 5353 UDP) entre dos endpoints internos. Se trata de una Actividad de Puerto Innecesaria o Inesperada que debe bloquearse para evitar ataques de ransomware.

Cómo Funciona

Esta política ayuda a identificar los ataques de envenenamiento mDNS y genera alertas cuando ThreatSync+ NDR detecta cualquier tráfico interno superior a 1 byte al puerto UDP 5353. Durante los ataques de envenenamiento mDNS, se espera que el tráfico del cliente al equipo del atacante sea superior a 1 byte.

Cómo Ajustarla

No hay acciones de ajuste recomendadas para esta política.

Tráfico WUDO Interno

Esta política detecta el tráfico de Optimización de la Entrega de Windows Update (WUDO) entre dispositivos de su red. WUDO es el protocolo utilizado por Microsoft para actualizar el sistema operativo Windows desde computadoras pares.

Cómo Funciona

Microsoft Windows utiliza el protocolo WUDO para distribuir el proceso de actualización del OS a dispositivos Windows pares, lo que permite que las actualizaciones se distribuyan a través de una red peer-to-peer no controlada.

Si controla las actualizaciones del sistema operativo a través de una herramienta de distribución empresarial, WUDO ofrece a los usuarios una oportunidad no regulada para instalar actualizaciones no autorizadas, no probadas o incluso maliciosas.

La política genera alertas cuando ThreatSync+ NDR identifica actividad en el puerto 7680 entre dispositivos dentro de su red privada. La política está configurada para generar alertas sobre cualquier tráfico 7680, por lo que si WUDO está autorizado para su uso dentro de su red, se generarán alertas con frecuencia.

Cómo Ajustarla

La política está habilitada de forma predeterminada porque nuestra recomendación es no utilizar WUDO en su empresa. Si utiliza WUDO como método autorizado de distribución de software de Windows, desactive esta política.

Si permite WUDO en redes específicas, como redes de invitados aisladas o áreas específicas de la organización, puede ajustar las zonas de origen y destino para excluir las subredes que están autorizadas.

Tráfico LLMNR que Cruza el Límite de la Red

Esta política genera alertas para el tráfico Link-Local Multicast Name Resolution (LLMNR) (puerto 5355 UDP) que atraviesa el límite de la red. Se trata de una actividad innecesaria o inesperada, y debe bloquearse para evitar ataques de ransomware.

Cómo Funciona

Esta política genera alertas cuando ThreatSync+ NDR detecta tráfico procedente de un origen interno hacia el puerto 5355 que sale o evade la red perimetral.

No se debe permitir que el tráfico LLMNR (Link-Local Multicast Name Resolution) salga de una red empresarial. LLMNR es un protocolo que permite a los hosts resolver nombres de otros hosts de la misma red local. Funciona por UDP en el puerto 5355.

LLMNR es susceptible de sufrir ataques porque no tiene un mecanismo de autenticación, por lo que cualquiera puede responder a una solicitud LLMNR. Algunos ataques que se pueden realizar con LLMNR son:

  • Ataques de colisión de nombres
  • Envenenamiento LLMNR

Cómo Ajustarla

LLMNR es el sucesor de NetBIOS. NetBIOS (Sistema básico de entrada/salida de red) es un protocolo antiguo que se utilizó en las primeras versiones de redes de Windows. NBT-NS es un componente de NetBIOS por TCP/IP (NBT) y se encarga del registro y la resolución de nombres. Al igual que LLMNR, NBT-NS es un protocolo de reserva cuando falla la resolución DNS. Permite la resolución de nombres locales dentro de una LAN, por lo que cuando deshabilita esta función en un entorno de Active Directory, mitiga las alertas. Sin embargo, si se recomienda que alguna aplicación utilice los puertos LLMNR, puede excluir esos servidores de aplicaciones autorizados de la zona de destino.

Tráfico NetBIOS-NS que Cruza el Límite de la Red

Esta política genera alertas cuando se detecta tráfico NetBIOS-NS (puerto 137 UDP) que cruza el límite de la red. Se trata de una actividad de puerto innecesaria o inesperada, y debe bloquearse para evitar ataques de ransomware.

Cómo Funciona

Esta política recibe una alerta cuando ThreatSync+ NDR detecta cualquier tráfico en el puerto 137 desde el host interno a la red externa. De forma similar a un ataque de envenenamiento LLMNR, NTB-NS se utiliza sin una respuesta adecuada del servidor DNS. Esto significa que se intenta encontrar una respuesta en la red local. Esto suele ocurrir cuando el usuario comete un error al escribir mientras busca un recurso de red, no se encuentra en la red correcta, no configuró un servidor DNS o, por ejemplo, olvidó conectarse a la VPN y no puede acceder al recurso de red deseado.

En este caso, si el atacante conoce la dirección IP del recurso de red, puede enviar al cliente una dirección IP diferente como respuesta. Esta dirección IP llega a un servidor alojado por el atacante.

Cómo Ajustarla

NetBIOS. NetBIOS (Sistema básico de entrada/salida de red) es un protocolo antiguo que se utilizó en las primeras versiones de redes de Windows. NBT-NS es un componente de NetBIOS por TCP/IP (NBT) y se encarga del registro y la resolución de nombres. Al igual que LLMNR, NBT-NS es un protocolo de reserva cuando falla la resolución DNS. Permite la resolución de nombres locales dentro de una LAN, por lo que cuando deshabilita esta función en un entorno de Active Directory, mitiga las alertas. Sin embargo, si se recomienda que alguna aplicación utilice los puertos NBT-NS, puede excluir esos sitios autorizados de la zona de destino.

Intentos de RDP de Externo a Interno

Esta política genera alertas cuando se intenta establecer sesiones de Protocolo de Escritorio Remoto (RDP) en su red desde una dirección IP externa, pero fallan.

Cómo Funciona

El tráfico RDP en su red debe limitarse a un pequeño conjunto de puntos de entrada para controlar y monitorizar el acceso desde fuera de su empresa. Esta política genera una alerta cada vez que se detectan sesiones RDP fallidas, aquellas que son demasiado cortas para indicar que la autenticación se realizó correctamente, desde una fuente de red externa.

Esta política está configurada inicialmente para generar una alerta ante cualquier conexión RDP fallida. Es adecuada para organizaciones que no permiten conexiones RDP en la empresa.

Cómo Ajustarla

Si permite que el tráfico RDP ingrese a su red a través de un conjunto específico de servidores en su Zona Desmilitarizada (DMZ), excluya esos servidores de la zona de destino. Utilice esta política para identificar cuándo se puede acceder a servidores RDP no autorizados.

Conexión RDP Desde un Nuevo Host Externo

Esta política genera alertas para las conexiones RDP entrantes desde Internet cuando la dirección IP de origen externa se conecta a una dirección IP interna por primera vez.

Cómo Funciona

Cuando se permiten las conexiones RDP entrantes, suele haber un conjunto limitado y conocido de usuarios que se conectan activamente. Esta política le avisa cuando se conectan nuevas ubicaciones para que pueda ver cuándo se conectan nuevos usuarios RDP.

Cómo Ajustarla

Si recibe demasiadas alertas para esta política porque los dominios externos o los Service Providers de Internet rotan constantemente sus direcciones IP, puede modificar la política para utilizar uno de los otros eventos anómalos, como Conexión desde un Nuevo Dominio, Conexión desde una Nueva Organización o Conexión desde una Nueva Localidad, en lugar de Conexión desde una Nueva IP.

También puede excluir dominios, organizaciones o países específicos de la zona de origen para que no generen alertas desde esas áreas.

RDP de Externo a Interno

Esta política genera alertas para las conexiones RDP entrantes desde una dirección IP externa.

Esta política es diferente de la política Intentos RDP de Externo a Interno, ya que solo genera alertas cuando se detecta suficiente actividad en la sesión como para indicar que el usuario se conectó correctamente e ingresó las credenciales correctas.

Cómo Funciona

El tráfico RDP en su red debe limitarse a un pequeño conjunto de puntos de entrada para controlar y monitorizar el acceso desde fuera de su empresa. Esta política genera alertas cada vez que ThreatSync+ NDR detecta una sesión RDP con más de 5 KB de datos procedentes desde un origen de red externa.

Cómo Ajustarla

Si permite que el tráfico RDP ingrese a su red a través de un conjunto específico de servidores en su Zona Desmilitarizada (DMZ), excluya esos servidores de la zona de destino. Utilice esta política para identificar cuándo se puede acceder a servidores RDP no autorizados.

Intentos de SSH de Externo a Interno

Esta política genera alertas cuando se intenta establecer sesiones SSH fallidas en su red desde una dirección IP externa.

Cómo Funciona

El tráfico SSH autorizado en su red es poco frecuente y debe limitarse a un pequeño conjunto de puntos de entrada para controlar y monitorizar el acceso desde fuera de su empresa. Esta política genera alertas cada vez que ThreatSync+ NDR detecta tráfico SSH desde un origen de red externa.

Esta política está configurada inicialmente para generar alertas sobre cualquier conexión SSH. Es adecuada para organizaciones que no permiten conexiones SSH en la empresa.

Cómo Ajustarla

Si permite que SSH ingrese a su red a través de un conjunto específico de servidores en su Zona Desmilitarizada (DMZ), excluya esos servidores de la zona de destino. Utilice esta política para identificar cuándo se puede acceder a servidores SSH no autorizados.

Exfiltración de Datos Sospechosa a Través de DNS

Esta política genera una alerta cuando un volumen inusualmente grande de tráfico pasa de endpoints internos a ubicaciones externas con el protocolo DNS. Esto podría ser un indicio de exfiltración de datos a través de Túneles DNS, una actividad de Comando y Control común relacionada con el ransomware.

Cómo Funciona

ThreatSync+ NDR monitoriza el tráfico DNS para identificar sesiones con cargas mayores de lo esperado y genera una alerta cuando detecta un túnel DNS entre una dirección IP interna y una externa.

Cómo Ajustarla

Es posible que la actividad DNS normal supere ocasionalmente los límites que se utilizan en la detección. Para solucionarlo, el destino de esta política se define como una dirección IP externa que no es miembro de un servicio DNS conocido.

Si tiene servicios DNS comunes y de buena reputación que no están incluidos en esa zona de destino, puede editar la zona para incluir sus dominios de servicios DNS externos adicionales.

Servidor de Resolución DNS Inesperado

Esta política genera alertas cuando el tráfico de endpoints internos pasa a servidores de resolución DNS externos inesperados. Esto podría indicar que el protocolo DNS se está utilizando para actividades de Comando y Control relacionadas con ransomware.

Cómo Funciona

Esta política genera alertas cuando el tráfico DNS (puerto 53) se conecta a un nuevo dominio al que nunca se envió tráfico anteriormente.

Se trata de una política muy eficaz, ya que es capaz de aprender por sí misma. Solo se activa una vez para cualquier dominio nuevo, por lo que, si el dominio no está autorizado, asegúrese de bloquearlo en su firewall.

Cómo Ajustarla

El único ajuste que puede realizar en esta política es excluir cualquier subred interna de su zona de origen para la que no desee recibir alertas. Por ejemplo, una red de invitados.

Tráfico FTP/TFTP Entrante No Seguro

Esta política genera alertas cuando el tráfico FTP o TFTP pasa de orígenes externos a dispositivos internos. Si permite que la actividad en puertos de aplicaciones no cifradas ingrese a su empresa desde Internet, puede hacer que su organización sea vulnerable a ataques como ransomware.

Cómo Funciona

Esta política genera alertas cuando las conversaciones bidireccionales que utilizan tráfico FTP en el puerto 21 o tráfico TFTP en el puerto 69 ingresan a la red interna.

Dado que FTP y TFTP son protocolos sin cifrar, el acceso a su red a través de estos protocolos debe estar altamente controlado. Si no puede trasladar el tráfico FTP a un protocolo cifrado diferente o incluirlo en una VPN cifrada, es importante controlar los puntos de entrada de estos datos.

Cómo Ajustarla

Si necesita utilizar FTP o TFTP, debe identificar el conjunto limitado de servidores de salto de su DMZ que están autorizados a aceptar conexiones FTP o TFTP y crear excepciones en esta política para estos servidores.

Agregue estos como exclusiones a la zona de destino en la política.

Tráfico IRC Entrante No Seguro

Esta política genera alertas cuando el tráfico IRC pasa de orígenes externos a dispositivos internos. Si permite que la actividad en puertos de aplicaciones no cifradas ingrese a su empresa desde Internet, puede hacer que su organización sea vulnerable a ataques como ransomware.

Cómo Funciona

Esta política genera alertas cuando las conversaciones bidireccionales que utilizan IRC ingresan a la red interna.

Dado que IRC es un protocolo sin cifrar, el acceso a su red a través de este protocolo debe estar altamente controlado. Si no puede trasladar el tráfico IRC a un protocolo cifrado diferente o incluirlo en una VPN cifrada, es importante controlar los puntos de entrada de estos datos.

Cómo Ajustarla

Si necesita utilizar IRC, identifique el conjunto limitado de servidores de salto en su DMZ que están autorizados a aceptar conexiones IRC y cree excepciones en esta política para estos servidores.

Agregue estos como exclusiones a la zona de destino en la política.

Tráfico Telnet Entrante No Seguro

Esta política genera alertas cuando el tráfico Telnet (puerto 23 TCP) pasa de orígenes externos a dispositivos internos. Si permite que la actividad en puertos de aplicaciones no cifradas ingrese a su empresa desde Internet, puede hacer que su organización sea vulnerable a ataques como ransomware.

Cómo Funciona

Esta política genera alertas cuando las conversaciones bidireccionales que utilizan Telnet ingresan a la red interna.

Debido a que Telnet es un protocolo sin cifrar, el acceso a su red a través de este protocolo debe estar altamente controlado. Si no puede trasladar el tráfico Telnet a un protocolo cifrado diferente, como SSH, o incluirlo en una VPN cifrada, es importante controlar los puntos de entrada de estos datos.

Cómo Ajustarla

Si necesita utilizar Telnet, identifique el conjunto limitado de servidores de salto en su DMZ que están autorizados a aceptar conexiones Telnet y cree excepciones en esta política para estos servidores.

Agregue estos como exclusiones a la zona de destino en la política.

Actividad de Servidor Web Entrante No Segura

Esta política genera alertas cuando el tráfico no seguro del servidor web HTTP (puerto 80 TCP) pasa de orígenes externos a dispositivos internos. Si permite que la actividad en puertos de aplicaciones no cifradas ingrese a su empresa desde Internet, puede hacer que su organización sea vulnerable a ataques como ransomware.

Cómo Funciona

Esta política genera alertas cuando las conversaciones bidireccionales que utilizan HTTP ingresan a la red interna.

Debido a que HTTP es un protocolo sin cifrar, el acceso a su red a través de este protocolo debe estar altamente controlado. Si no puede trasladar el tráfico HTTP a otro protocolo cifrado, como HTTPS, o incluirlo en una VPN cifrada, es importante controlar los puntos de entrada de estos datos.

Cómo Ajustarla

Si necesita utilizar HTTP, identifique el conjunto limitado de servidores de salto en su DMZ que están autorizados a aceptar conexiones HTTP y cree excepciones en esta política para estos servidores.

Agregue estos como exclusiones a la zona de destino en la política.

Tráfico Telnet Interno No Seguro

Esta política genera alertas cuando el tráfico Telnet (puerto 23 TCP) pasa entre dispositivos internos. Si permite que la actividad en puertos de aplicaciones no cifradas ingrese a su empresa desde Internet, puede hacer que su organización sea vulnerable a ataques como ransomware.

Cómo Funciona

Esta política genera alertas cuando las conversaciones bidireccionales que utilizan Telnet ingresan a la red interna.

Dado que Telnet es un protocolo sin cifrar, su uso debe controlarse estrictamente. Si no puede trasladar el tráfico Telnet a un protocolo cifrado diferente, como SSH, o incluirlo en una VPN cifrada, es importante monitorizar de cerca su uso.

Cómo Ajustarla

Si necesita utilizar Telnet, identifique el conjunto limitado de servidores de su red que están autorizados a aceptar conexiones Telnet y cree excepciones en esta política para dichos servidores.

Agregue estos como exclusiones a la zona de destino en la política.

Tráfico WUDO que Cruza el Límite de la Red

Esta política genera alertas cuando el tráfico de Optimización de Entrega de Windows Update (WUDO) pasa entre dispositivos de su red y la Internet pública. Esta política se enfoca en el tráfico WUDO saliente.

Microsoft Windows utiliza el protocolo WUDO para distribuir el proceso de actualización del sistema operativo a los dispositivos Windows, lo que permite que las actualizaciones se distribuyan a través de una red peer-to-peer no controlada.

Si controla las actualizaciones del sistema operativo a través de una herramienta de distribución empresarial, WUDO ofrece a los usuarios la oportunidad de instalar actualizaciones no autorizadas, no probadas o incluso maliciosas.

Cómo Funciona

La política genera alertas cuando ThreatSync+ NDR detecta actividad en el puerto 7680 desde dispositivos de su red privada a direcciones IP públicas en Internet.

Incluso si permite a los usuarios utilizar WUDO dentro de su organización, es posible que no desee que lo utilicen externamente para instalar actualizaciones desde ubicaciones no confiables de Internet.

Cómo Ajustarla

Esta política está configurada para generar alertas sobre cualquier tráfico 7680, por lo que si WUDO está autorizado para su uso dentro de su red, se generarán alertas con frecuencia.

La directiva está habilitada de forma predeterminada porque nuestra recomendación es no utilizar actualizaciones externas de WUDO en su empresa. Le recomendamos que confíe en su servicio de distribución de software para controlar qué actualizaciones se pueden instalar.

Sin embargo, si permite WUDO externo como método autorizado para la distribución de software del sistema operativo Windows, debe desactivar esta política.

Si permite WUDO externo en redes específicas, como redes de invitados aisladas o áreas específicas de la organización, puede ajustar la zona de origen para excluir las subredes que estén autorizadas.

Si permite el uso de WUDO en un conjunto limitado de dominios externos, puede configurar esos dominios en la zona de destino.

Temas Relacionados

Configurar Políticas de ThreatSync+

Ajuste de Política

Administrar Zonas de ThreatSync+

Agencia de Seguridad Cibernética y de Infraestructuras