Acerca de las Políticas de Automatización de ThreatSync

Aplica A: ThreatSync

Algunas de las funciones descritas en este tema están disponibles solo para los participantes en el programa ThreatSync Beta. Si una función descrita en este tema no está disponible en su versión de WatchGuard Cloud, es una función exclusiva del programa beta.

Las políticas de automatización de ThreatSync definen las acciones que ThreatSync realiza automáticamente cuando se detecta una amenaza.

Las políticas de automatización permiten a los Respondedores ante Incidentes responder automáticamente a tipos específicos de incidentes para que puedan centrarse en los incidentes más importantes que podrían requerir investigación y respuesta manual. Por ejemplo, las políticas de automatización predeterminadas cierran automáticamente tipos específicos de incidentes que tienen una puntuación de bajo riesgo y realizan acciones de respuesta automática en los incidentes más críticos.

Puede responder manualmente a cualquier incidente no cubierto por una política de automatización. Para más información, vaya a Realizar Acciones sobre Incidentes y Endpoints.

Para obtener más información sobre las políticas de automatización, consulte estas secciones:

Tipos de Política de Automatización de ThreatSync
Políticas de Automatización Predeterminadas de ThreatSync
Condiciones y Acciones de Política de Automatización de ThreatSync
Precedencia de la Política de Automatización de ThreatSync
Plantillas de Política de Automatización de ThreatSync

Recomendamos que no agregue políticas de automatización distintas de las políticas de automatización predeterminadas en Prácticas Recomendadas de ThreatSync hasta que esté familiarizado con los distintos tipos de incidentes que pueden ocurrir en su entorno y las acciones de respuesta que puede realizar.

Tipos de Política de Automatización de ThreatSync

En ThreatSync, puede configurar dos tipos de políticas de automatización:

Política Remediation (Remediación)

Una política de automatización Remediation realiza las acciones de respuesta especificadas para los incidentes que reúnen las condiciones de la política.

Política de Cierre

Una política de automatización Close cambia el estado de los incidentes que reúnen las condiciones de la política a Cerrado.

Políticas de Automatización Predeterminadas de ThreatSync

Cada cuenta de ThreatSync tiene dos políticas de automatización predeterminadas. Estas políticas de automatización predeterminadas permiten que ThreatSync tome medidas automáticas en los incidentes de mayor y menor riesgo para que usted pueda concentrarse en los incidentes más importantes que podrían requerir investigación y respuesta manual.

Política de Automatización de Remediación Predeterminada

Para asegurarse de que ThreatSync lo proteja automáticamente de incidentes de alto riesgo, le recomendamos que habilite la política de remediación predeterminada para incidentes con un intervalo de riesgo de 7-10. Para más información sobre cómo habilitar o deshabilitar las políticas de automatización, vaya a Habilitar o Deshabilitar una Política de Automatización.

Política de Remediación Predeterminada

Rango — 1
Tipo de Política — Remediación
Intervalo de Riesgo — 7-10
Tipo de Dispositivo — Endpoint, Firebox, Punto de Acceso
Acciones — Realizar > Aislar Dispositivo

Esta política aísla automáticamente de la red los dispositivos afectados por incidentes con una puntuación de 7 o superior para evitar la propagación de la amenaza. Esto le permite analizar dispositivos aislados e investigar los detalles de los incidentes. Para más información, vaya a Revisar los Detalles del Incidente.

Política de Automatización de Cierre Predeterminada

Para reducir la cantidad de incidentes de bajo riesgo en la lista de incidentes y poder centrarse en los incidentes de mayor riesgo, le recomendamos que habilite la política de automatización Cierre que se aplica a los incidentes con una puntuación de riesgo de 1.

Política de Cierre Predeterminada

Tipo de Política — Cierre
Intervalo de Riesgo — 1
Tipo de Dispositivo — Endpoint, Firebox, Punto de Acceso
Acciones — Realizar > Cerrar

Esta política cierra automáticamente los incidentes con una puntuación de riesgo de 1. Le recomendamos que revise los incidentes cerrados y decida si son necesarias otras acciones. Para revisar su lista de incidentes cerrados, filtre los incidentes por estado en la página Incidentes. Para más información, vaya a Monitorizar Incidentes de ThreatSync.

Si no tiene tiempo para investigar todos los incidentes de bajo riesgo, considere la posibilidad de modificar su política de cierre para aumentar el intervalo de riesgo a 1-3.

Condiciones y Acciones de Política de Automatización de ThreatSync

Para cada política de automatización de ThreatSync, configure condiciones y acciones.

Condiciones

Las condiciones definen cuándo ThreatSync ejecuta una política. Si un incidente cumple con las condiciones de una política, ThreatSync realiza las acciones especificadas.

Puede especificar estas condiciones para cada política.

Intervalo de Riesgo — Especifica un rango de niveles de riesgo de incidentes. Para más información, vaya a Niveles y Puntuaciones de Riesgo de ThreatSync.
Tipo de Incidente — Seleccione uno o más tipos de incidentes.
Tipo de Dispositivo — Selecciona Firebox, Endpoint o Punto de Acceso.
Acciones Realizadas — Seleccione una o más de las acciones realizadas sobre un incidente (solo política Close).

La condición Acciones Realizadas solo está disponible para el tipo de política Close. Las políticas Remediation tienen una sección separada para seleccionar las acciones de respuesta.

Acciones

Las acciones definen lo que hace ThreatSync cuando se ejecuta la política.

Para cada política, debe especificar si la política realiza o evita acciones.

Perform (Realizar) — ThreatSync realiza las acciones especificadas para los nuevos incidentes que cumplen con las condiciones de la política.
Prevent (Prevenir) — ThreatSync previene las acciones especificadas. Para crear una excepción de una política más amplia Perform, puede agregar una política con la acción Prevent y clasificarla en un nivel más alto que la otra política en la lista de políticas. Una política con la acción Prevenir no impide la ejecución manual de una acción por parte de un operador.

Para una política Remediation, seleccione una o más de estas acciones para realizar:

Bloquear IP de Origen de la Amenaza (solo IP externas) — Bloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes con ThreatSync habilitado en la cuenta de WatchGuard Cloud bloquean las conexiones hacia y desde la dirección IP.
Eliminar Archivo — Elimina los archivos marcados asociados con el incidente.
Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial.
Bloquear Punto de Acceso — Bloquea las conexiones de clientes inalámbricos a puntos de acceso maliciosos.
Detener Proceso Malicioso — Interrumpe un proceso que mostró un comportamiento malicioso asociado con el incidente.
Bloquear/Desbloquear Usuario — Bloquea o desbloquea al usuario asociado con un incidente de Acceso con Credenciales en AuthPoint. Para obtener más información sobre cómo bloquear usuarios o activar usuarios bloqueados en AuthPoint, vaya a Bloquear un Usuario o Token.

Para una política Close, solo hay una acción:

Cerrar el Incidente — Cambia el estado de incidentes a Cerrado. Esta acción se selecciona automáticamente y no se puede cambiar.

Precedencia de la Política de Automatización de ThreatSync

Las políticas de ThreatSync se clasifican por orden de prioridad relativa de arriba a abajo. Si un incidente coincide con las condiciones configuradas en diversas políticas, ThreatSync realiza la acción especificada en la política de mayor prioridad aplicable.

Cada acción recomendada en un incidente se evalúa en forma individual frente a una política. Si un incidente no tiene una acción recomendada que coincida con una acción especificada en la política, esa política se omite.

Screen shot of the Automation Policies page in ThreatSync

Las políticas de automatización asignadas a través de una plantilla aparecen en la parte superior de la lista de políticas de la cuenta Subscriber. Para cambiar el orden de sus políticas y plantillas de automatización, vaya a Administrar las Políticas de Automatización de ThreatSync (Subscribers).

Ejemplo de Política de Automatización

En este ejemplo, tiene dos políticas de automatización con estas condiciones:

Política de Automatización 1

Rango — 1
Tipo de Política — Remediation
Intervalo de Riesgo — 8 a 10
Tipo de Dispositivo — Endpoint, Firebox
Acciones — Realizar > Detener Proceso Malicioso

Política de Automatización 2

Intervalo — 2
Tipo de Política — Remediation
Intervalo de Riesgo — 8 a 10
Tipo de Dispositivo — Endpoint, Firebox
Acciones — Realizar > Aislar Dispositivo, Detener Proceso Malicioso

Se produce un incidente con estos detalles:

Tipo — IOA
Nivel de Riesgo — 8
Tipo de Dispositivo — Endpoint
Acciones Recomendadas — Realizar > Aislar Dispositivo, Detener Proceso Malicioso, Eliminar Archivo

En este ejemplo:

La Política de Automatización 2 es la política de mayor rango que se aplica al incidente para la acción recomendada Aislar Dispositivo.
La Política de Automatización 1 es la política de mayor rango que se aplica al incidente para la acción recomendada Detener Proceso Malicioso.
No se aplican políticas de automatización al incidente para la acción recomendada Eliminar Archivo.

Resultado:

ThreatSync aísla automáticamente el dispositivo y detiene el proceso malicioso, pero no intenta eliminar el archivo.

Plantillas de Política de Automatización de ThreatSync

Puede crear políticas de automatización a nivel de cuenta Subscriber. Para agregar una política de automatización para una cuenta Subscriber, vaya a Administrar las Políticas de Automatización de ThreatSync (Subscribers).

Además, los Service Providers pueden crear plantillas de la política de automatización que incluyan varias políticas de automatización, luego asignar las plantillas a las cuentas o los grupos de cuentas que administran. Esto permite a los Service Providers aplicar políticas de automatización de manera coherente a través de las cuentas administradas, y ahorrar tiempo cuando configuran ThreatSync para nuevas cuentas.

Para configurar plantillas de políticas de automatización para sus cuentas administradas o grupos de cuentas, vaya a Administrar las Plantillas de Política de Automatización de ThreatSync (Service Providers).

Temas Relacionados

Administrar las Políticas de Automatización de ThreatSync (Subscribers)

Administrar las Plantillas de Política de Automatización de ThreatSync (Service Providers)

Para configurar los ajustes de dispositivo de ThreatSync:

Administrar Elementos Bloqueados por ThreatSync

Configurar ThreatSync

Acerca de ThreatSync

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.