Aplica A: ThreatSync+ NDR
El Informe de Resumen Ejecutivo de ThreatSync+ NDR proporciona una descripción general de alto nivel de las amenazas y vulnerabilidades que detecta ThreatSync+ NDR. El informe incluye una puntuación de amenaza de red global y muestra los cambios en la tendencia de la puntuación a lo largo del tiempo. Las puntuaciones más bajas indican que es posible que no esté protegiendo completamente su red. La mejora en su puntuación de amenazas a lo largo del tiempo demuestra que está utilizando las capacidades de ThreatSync+ NDR para monitorizar y detectar amenazas.
La primera sección del informe ofrece una descripción general de la evaluación de amenazas:
Período del Informe
El período del informe que se muestra al principio del informe representa los datos que se utilizan para generar el informe. Los períodos de informe habituales son de una semana y un mes.
Puntuación de Amenaza
ThreatSync+ calcula las puntuaciones de amenazas en una escala del 300 al 850. La puntuación es un promedio de las métricas que se aplican a su red. También puede ver su puntuación como una calificación de la A a la F.
Su puntuación de amenaza refleja el nivel de protección de su red. Las puntuaciones más altas indican que ThreatSync+ detectó pocas amenazas y vulnerabilidades, y que la visibilidad de su red es buena.
Puntuación de Amenaza Objetivo
La puntuación de amenaza objetivo proporciona un objetivo que debe intentar alcanzar o superar. El objetivo se basa en nuestra experiencia con muchas redes de clientes y representa una calificación B (Muy Buena).
Cómo Usar Este Informe
El uso continuado de ThreatSync+ NDR tiene como objetivo mejorar su puntuación de amenaza y proteger sus dispositivos informáticos críticos. Este informe le ofrece una descripción general de su red que le permite identificar amenazas y vulnerabilidades.
Puntuaciones de Amenaza
Su Puntuación de Amenaza le proporciona una medida global de la salud de la red, calculada en función de las amenazas y vulnerabilidades que detecta ThreatSync+ NDR. La puntuación le permite realizar un seguimiento de su progreso a lo largo del tiempo y comparar su red con la de otros usuarios de ThreatSync+ NDR. La puntuación se calcula en una escala de 300 a 850. Su calificación de salud refleja su rendimiento en comparación con el de otros usuarios. La mayoría obtiene una calificación B, pero todos debemos aspirar a obtener una A.
Objetivos Métricos
Los objetivos que debe intentar alcanzar o superar para estas métricas pueden variar en función del tamaño de la red y del tipo de organización. ThreatSync+ NDR asigna estos objetivos en función de lo que sabemos sobre su organización y sitios similares al suyo.
El Gráfico de Tendencias de cada métrica muestra el valor objetivo en una serie separada del gráfico. Consulte su informe para ver qué objetivo le recomienda ThreatSync+ NDR. Si alcanza el objetivo, obtendrá una calificación B. Si lo supera, podrá obtener una calificación A.
El informe de Resumen Ejecutivo de ThreatSync+ NDR incluye las siguientes secciones:
- Resumen de Detección de Amenazas
- Resumen de Visibilidad de la Red
- Resumen de Garantía de Políticas
- Informe de Resumen Ejecutivo de ThreatSync+ NDR
- Detalle de Visibilidad de la Red
- Detalle de Garantía de Políticas
Para configurar la manera en que ThreatSync+ NDR calcula la puntuación de amenaza que se muestra en el informe y para especificar qué métricas incluye el informe, siga los pasos que se indican en Configurar los Ajustes del Informe de Resumen Ejecutivo.
Puede programar WatchGuard Cloud para ejecutar informes de ThreatSync+ NDR automáticamente y enviarlos por correo electrónico a destinatarios específicos. También puede descargar informes programados desde WatchGuard Cloud. Para más información, vaya a Programar Informes de ThreatSync+.
Resumen de Detección de Amenazas
La sección Resumen de Detección de Amenazas ofrece una descripción general de las amenazas que afectan a su red.
Las métricas de Detección de Amenazas le animan a revisar y responder a las Smart Alerts de ThreatSync+ NDR. Las métricas realizan un seguimiento del número de Smart Alerts abiertas, la rapidez con la que se abordan y el tiempo que ThreatSync+ NDR ahorra al monitorizar las amenazas potenciales para que usted no tenga que hacerlo.
Resumen de Visibilidad de la Red
La sección Visibilidad de la Red del informe proporciona información sobre su red y sus activos:
Las métricas de Visibilidad de la Red le ayudan a mantenerse al día con la identificación de las subredes y los dispositivos importantes de su red. Cuando indica a ThreatSync+ NDR qué activos y subredes son más importantes para usted, ThreatSync+ NDR puede proporcionar información más eficaz sobre las amenazas. Cuando etiqueta los activos y especifica sus roles, ThreatSync+ NDR puede detectar automáticamente los incumplimientos de políticas para esos tipos de sistemas. ThreatSync+ NDR también utiliza etiquetas de subred para identificar de forma más eficaz los dispositivos no autorizados y las amenazas desconocidas.
Resumen de Garantía de Políticas
La métrica Incumplimiento de Política realiza un seguimiento del número de incumplimientos que ThreatSync+ NDR detecta en su red. Las políticas que habilita ayudan a identificar el tráfico que representa actividad no autorizada. Habilite políticas que le ayuden a identificar errores y configuraciones incorrectas en sus otras herramientas de seguridad, como firewalls, EDR y sistemas de administración de activos. Esto le ayuda a identificar rápidamente cuándo estas herramientas no bloquean el tráfico no autorizado.
La puntuación de amenaza ponderada de alertas de políticas es una puntuación ponderada que da mayor importancia a las alertas de políticas con mayor riesgo. Las alertas de políticas con mayor gravedad e importancia contribuyen a una puntuación de amenaza global más alta.
Detalle de Detección de Amenazas
La sección Detalle de Detección de Amenazas proporciona detalles sobre las métricas de Detección de Amenazas.
Esta sección incluye la siguiente información:
Métrica de Smart Alerts Abiertas
La Métrica Smart Alerts Abiertas le da una calificación en función del número de Smart Alerts que debe revisar actualmente y sobre las que debe tomar decisiones. Las Smart Alerts indican posibles amenazas para su red. Para aumentar su puntuación, asegúrese de revisar, remediar y cerrar las Smart Alerts. El gráfico de tendencias muestra cómo ha cambiado el número de alertas abiertas durante los últimos 14 días.
Hora de Cierre Promedio de las Smart Alerts
La métrica Hora de Cierre Promedio de las Smart Alerts realiza un seguimiento del tiempo que permanecen abiertas las Smart Alerts. Para aumentar su puntuación, responda y cierre las Smart Alerts rápidamente. El objetivo para obtener una calificación B es tener dos Smart Alerts abiertas en cualquier momento determinado.
El gráfico muestra los motivos que especificó al cerrar las Smart Alerts. Hay cuatro motivos posibles:
- Anómala y No Autorizada — Se trata de una amenaza real que requiere investigación. ThreatSync+ NDR identificó correctamente una actividad anómala y esta actividad no está autorizada en su red. Usted no reconoce la actividad como parte de su actividad empresarial autorizada.
- Anómala y Autorizada — ThreatSync+ NDR identificó correctamente una actividad anómala, pero usted comprende el origen de la actividad y sabe que está autorizada en la red. Por ejemplo, es posible que haya realizado un escaneo de red como parte de sus propias pruebas.
- Actividad Normal — Esta actividad es esperada en la red. Cuando cierre estas Smart Alerts, puede configurar que ThreatSync+ NDR suprima las alertas futuras.
- Otro — No sabe qué es la Smart Alert. Podría tratarse de una amenaza, pero no puede determinar la causa raíz. Al cerrar estas Smart Alerts, puede proporcionar más detalles para que ThreatSync+ NDR pueda determinar mejor si se trata de un riesgo.
Esfuerzo Manual Ahorrado
La métrica Esfuerzo Manual Ahorrado indica la cantidad de tiempo que ThreatSync+ ahorra mediante la revisión automática de posibles amenazas y vulnerabilidades. Este cálculo utiliza el número de Smart Alerts y comportamientos detectados por ThreatSync+ y asume que cada detección le ahorra varios minutos de revisión manual de los registros de flujo para detectar actividades anómalas y posibles amenazas. Esta métrica solo incluye la actividad que no tiene que revisar. Estimamos que ahorra una hora por cada Smart Alert sin confirmar que ThreatSync+ detecta y 15 minutos por cada Comportamiento Huérfano. El valor máximo está limitado a 10 días-persona cada semana. Para mantener su puntuación alta, asegúrese de monitorizar activamente su red y de que sus colectores envíen datos constantemente a ThreatSync+.
Resumen de Smart Alerts
El Resumen de Smart Alerts proporciona una vista rápida de los tipos de Smart Alerts observados durante el período del informe. Cada fila resume las Smart Alerts que se produjeron para ese tipo de amenaza y muestra esta información:
- Estado — Indica si hay muchas incidencias, un par de incidencias o ninguna incidencia.
- Actores Principales — Indica cuántos de sus activos o sistemas internos se vieron involucrados en las amenazas potenciales.
- Hora de Primera Vez Visto — Muestra cuándo se vieron por primera vez las Smart Alerts de este tipo. La hora puede ser anterior al período del informe si el intervalo de tiempo de la Smart Alert cubre parcialmente el período del informe.
- Hora de la Última Activación — Muestra cuándo se vieron por última vez las Smart Alerts de este tipo.
Detalle de Visibilidad de la Red
La sección Detalle de Visibilidad de la Red proporciona detalles sobre su red.
Esta sección incluye la siguiente información:
Su Red
Su Red proporciona estadísticas básicas sobre los dispositivos que ThreatSync+ NDR puede identificar. Las direcciones IP internas son aquellas que forman parte de su organización. ThreatSync+ NDR identifica las direcciones IP internas como aquellas con direcciones IP privadas o aquellas que usted etiquetó explícitamente como internas en los ajustes de la subred. Las direcciones IP internas de confianza son aquellas que se han etiquetado, ya sea automáticamente a través del descubrimiento de activos de ThreatSync+ NDR o manualmente a través de los ajustes de la subred.
Las direcciones IP externas son todas las direcciones IP que no son internas. Son las direcciones IP públicas con las que se comunican sus empleados o usuarios.
Esta sección también incluye algunas estadísticas básicas sobre la cantidad de datos que ThreatSync+ NDR identifica a medida que se mueven por su red. El tráfico total es el recuento de bytes de datos monitorizados. Los recuentos de flujo reflejan el número total de conversaciones entre pares de direcciones IP y puertos durante el período del informe.
Activos No Identificados
La métrica Activos No Identificados indica el porcentaje de activos que ThreatSync+ NDR detecta y que usted no ha identificado. Una parte importante de la visibilidad de la red es la función que desempeña un dispositivo en su red. Cuando identifica sus activos conocidos, ThreatSync+ NDR puede enfocarse más en los activos críticos y desconocidos, y no notificarle sobre dispositivos que no son importantes. Mantenga bajo el porcentaje de activos no identificados para que, cuando aparezcan activos rogue, pueda descubrirlos fácilmente. Para mantener el porcentaje bajo, revise las sugerencias de dispositivos en la página Descubrir de la UI de ThreatSync+ y acepte aquellos que sean importantes en su red.
Activos de Alto Riesgo
La métrica Activos de Alto Riesgo identifica los activos que tienen niveles de riesgo elevados e indica qué porcentaje del total de activos corrientes definidos son de alto riesgo.
Estos factores contribuyen a aumentar el nivel de riesgo de un activo:
- El activo es un actor principal o secundario en Smart Alerts abiertas y comportamientos.
- Un gran número de eventos anómalos involucran las direcciones IP del activo.
- El activo está etiquetado como importante.
El gráfico adjunto muestra los roles habituales asignados a sus activos de alto y bajo riesgo.
Para mantener baja esta métrica, cierre las Smart Alerts de manera oportuna, remedie las amenazas para que no se produzcan futuras Smart Alerts y establezca los niveles de importancia de los activos con precisión, de modo que los activos sin importancia no creen una falsa sensación de riesgo.
Subredes o Rangos de IP No Identificados
La métrica Subredes o Rangos de IP No Identificados indica el porcentaje de subredes o rangos de direcciones IP que ThreatSync+ NDR detecta pero que aún no ha identificado. Conocer las subredes activas de su red es fundamental para que ThreatSync+ NDR comprenda los dispositivos de su red. Una subred rogue puede indicar la presencia de un enrutador no autorizado en su red o un cambio de configuración no autorizado. Mantenga bajo el porcentaje de esta métrica para poder responder rápidamente ante cambios inesperados. Para mantener la métrica baja, revise las sugerencias de subredes en la página Descubrir de la UI de ThreatSync+ y acepte aquellas que sean importantes en su red.
Detalle de Garantía de Políticas
La sección Detalle de Garantía de Políticas proporciona detalles sobre las alertas de política y los incumplimientos comunes de políticas.
La Métrica de Incumplimiento de Política realiza un seguimiento del promedio de los últimos siete días del recuento de infracciones que se producen cada día. ThreatSync+ NDR evalúa cada política periódicamente, como máximo una vez cada 30 minutos. Cada incumplimiento de la regla de la política cuenta como un incumplimiento.
Por ejemplo, si un dispositivo interno se comunica con un país prohibido, puede infringir la regla Actividad hacia Países Bloqueados una vez por cada período de evaluación. Si dos dispositivos internos se comunican con el mismo país prohibido, ThreatSync+ NDR genera dos incumplimientos.
La tendencia muestra el historial de un período de 14 días e incluye políticas con y sin incumplimientos. Las políticas que no están activadas no se muestran en la tendencia.
Al principio, es posible que tenga un gran volumen de infracciones mientras prueba qué políticas son más útiles para proteger su red. Los incumplimientos solo deben activarse cuando la actividad incumple una política importante. Habilite aquellas políticas que le alertan de actividades maliciosas y le impulsan a tomar medidas. Ajuste las políticas y las zonas para que solo le avisen cuestiones importantes. Para mejorar su puntuación en esta métrica, reduzca el recuento diario de políticas a dos o menos para una red pequeña.
El gráfico 5 Incumplimientos más Comunes identifica las políticas que han activado más infracciones durante el período del informe. Solo se incluyen las cinco políticas principales. El eje x es un recuento de incumplimientos.
El gráfico Incumplimientos por Categoría identifica los tipos de políticas que han activado más infracciones durante el período del informe. Si asigna categorías para reflejar los tipos de políticas que aplica, puede obtener una visión clara de los tipos de problemas más comunes en su red.
Dado que el recuento de políticas activas puede aumentar considerablemente con el tiempo, agrupe las políticas por categoría para comprender rápidamente dónde pueden estar los puntos débiles de su red.
El gráfico Activos o IP con Más Incumplimientos identifica los sistemas de su red que han provocado más incumplimientos durante el período del informe. Solo se incluyen los cinco sistemas principales. El eje x es un recuento de incumplimientos.
Recomendaciones para Mejorar la Puntuación de Amenazas de su Informe de Resumen Ejecutivo
Si realiza un mantenimiento sencillo y periódico, y responde rápidamente a las alertas Smart Alerts y a las alertas de política, podrá mantener una puntuación alta. Una puntuación alta permite que ThreatSync+ NDR sea más eficaz y también es una métrica de cumplimiento.
Revise estas recomendaciones para maximizar la puntuación de amenazas de su Informe de Resumen Ejecutivo:
Cerrar Smart Alerts
Responda rápidamente a las Smart Alerts para mejorar su puntuación. Cuando revisa, responde y remedia las amenazas potenciales, mantiene su red segura. Una lista extensa de Smart Alerts abiertas indica que no ha respondido a las amenazas para su red.
Cuando responde a las alertas, su Tiempo de Cierre mejora. Si responde rápidamente, evalúa la amenaza y realiza acciones de remediación, puede cerrar las Smart Alerts con prontitud.
Revisar Sugerencias de Activos No Identificados
Para ayudar a ThreatSync+ NDR a tomar mejores decisiones sobre la gravedad de las amenazas, identifique sus activos importantes. Se responde de manera diferente a un ataque contra un activo crítico que a uno contra un activo no crítico. Cuando define los activos y les asigna niveles de importancia, ThreatSync+ NDR puede priorizar mejor las alertas.
Con el tiempo, se unen nuevos activos a su red y los activos existentes cambian de roles. La página Descubrir de la UI de ThreatSync+ le muestra cuándo ocurre esto para que pueda crear un nuevo activo o actualizar uno existente.
Las sugerencias de activos recomiendan una de estas acciones:
- Agregar un nuevo activo que aún no se ha configurado.
- Agregar un rol adicional a un activo existente.
- Eliminar un rol de un activo existente.
Si no reconoce un activo sugerido, es posible que no esté autorizado. Puede etiquetarlo y tomar medidas correctivas de inmediato.
Revisar Sugerencias de Subredes No Identificadas
Cuando etiqueta subredes, es más fácil reconocer las diferentes partes de su red. Por ejemplo, las direcciones IP son difíciles de seguir porque son muy similares. Si adjunta nombres de organizaciones y etiquetas a sus subredes internas, puede etiquetarlas para facilitar la comprensión de las amenazas potenciales que ThreatSync+ NDR muestra en Smart Alerts, comportamientos y alertas de política. Al igual que los activos, las sugerencias de subredes se muestran en la página Descubrir.
Definir Solo las Políticas que Tengan Sentido para su Red
Las alertas de política pueden indicarle cuándo la actividad de su red incumple una política de seguridad de la información que haya establecido. Es importante crear políticas que reflejen las prácticas aceptadas de su red, ya que, de lo contrario, tendrá que revisar constantemente alertas de política que no son importantes para usted. Por ejemplo, si su organización tiene una política clara que prohíbe el acceso a un sitio de redes sociales específico, habilite esa política. Si no existe tal prohibición, deshabilite esa política.
Sus políticas deben reflejar las reglas de firewall y cualquier otra herramienta de aplicación de seguridad que utilice. Utilice las políticas de ThreatSync+ NDR como una forma de alertarle cuando sus sistemas de seguridad fallen. Cuando se configuran correctamente, sus políticas de ThreatSync+ NDR pueden hacer cumplir las políticas de seguridad de la información de su empresa.
Utilice zonas para reducir el número de direcciones IP, organizaciones, dominios, etc. que cubre una política, de modo que solo se apliquen las reglas a los sistemas que sea necesario. Por ejemplo, en lugar de la zona Todas las Direcciones IP Internas, cree otra zona que incluya solo las subredes para las que desea recibir alertas.
También puede utilizar listas de dominios para establecer un conjunto claro de sitios públicos para los que recibir alertas, o puede utilizar listas de exclusión para no generar alertas para fuentes o destinos específicos a los que les permite incumplir la política.
Configurar los Ajustes del Informe de Resumen Ejecutivo