Aplica A: ThreatSync+ NDR
El Agente de Colección de ThreatSync+ NDR para Windows recibe datos de registro de los conmutadores y enrutadores de su red y los envía a WatchGuard Cloud.
El Agente de Colección de ThreatSync+ NDR escucha en el:
- Puerto 2055 para datos de registro NetFlow desde endpoints.
- Puerto 6343 para datos de registro sFlow desde endpoints.
- Puerto 514 para datos de registro DHCP del Agente de Registro de Windows.
Puede instalar el Agente de Colección de ThreatSync+ NDR en computadoras con Windows que ejecuten Windows 10, Windows 11 o Windows Server 2022.
Para obtener información detallada sobre los sistemas operativos y entornos de virtualización admitidos para Windows, vaya a Requisitos del Sistema.
Descargar el Agente de WatchGuard para Windows
La instalación del Agente de WatchGuard para Windows y del Agente de Colección de ThreatSync+ NDR es un proceso de dos pasos.
Para agregar y configurar un colector, primero debe descargar el Instalador del Agente de WatchGuard para Windows y, a continuación, ejecutar el asistente de instalación en una computadora o servidor con Windows que desee configurar como colector. Cuando instala el Agente de WatchGuard, este instala a su vez el Agente de Colección de ThreatSync+ NDR o el Agente de Registro de Windows. Utilice la UI de administración de ThreatSync para especificar las computadoras o servidores con Windows que se utilizarán como colectores.
Caution: No puede instalar el Agente de Colección de ThreatSync+ NDR en endpoints que tengan instalados productos para seguridad de endpoints de Panda o Cytomic. El Agente de Colección de ThreatSync+ NDR solo es compatible con productos WatchGuard Endpoint Security.
Antes de Empezar
Antes de descargar el Agente de WatchGuard para Windows, asegúrese de que:
- La computadora en la que desea instalar el agente tiene software antivirus instalado.
- Tiene permisos de Administrador y ha iniciado sesión en la computadora con Windows en la que desea instalar el Agente de WatchGuard.
Requisitos del Sistema
Asegúrese de que la virtualización esté habilitada en la BIOS y que la Seguridad Basada en la Virtualización (VBS) esté habilitada para hosts de entornos virtuales.
Para más información, vaya a:
- Habilitar la Virtualización en PC con Windows
- Seguridad Basada en la Virtualización (VBS)
- Habilitar o Deshabilitar VBS para una VM existente en el Cliente de Host VMware
Si ejecuta el colector en Hyper-V, debe habilitar la Virtualización Anidada. Para más información, vaya a Virtualización Anidada y Ejecutar Hyper-V en una Máquina Virtual con Virtualización Anidada.
Para evitar la Virtualización Anidada, le recomendamos que ejecute el colector en un dispositivo físico dedicado en lugar de en un dispositivo virtual.
El Agente de Colección de ThreatSync+ NDR para Windows debe cumplir estos requisitos:
- Windows 10, Windows 11 o Windows 2022 instalado con:
- Núcleos de CPU mínimos: 2
- Mínimo de 8 GB de RAM y 150 GB de espacio en disco
Para redes con una velocidad NetFlow superior a 500.000 por minuto, se necesitan más CPU, RAM y espacio en disco.
El instalador de Windows es compatible con computadoras con un procesador x86 o ARM.
Para más información sobre los sistemas operativos y entornos de virtualización admitidos, vaya a la sección Resolver Problemas del Agente de Colección de ThreatSync+ NDR para Windows en este documento o en Compatibilidad del Sistema Operativo para Componentes ThreatSync+ NDR en las Notas de Versión de ThreatSync+ NDR.
Instalar el Agente de WatchGuard para Windows
Instale el Agente de WatchGuard en cada computadora con Windows que desee configurar como colector. Por lo general, solo tiene que instalar el Agente de Colección de ThreatSync+ NDR en una computadora por cada ubicación física de su red.
Recomendamos que instale el agente en una computadora dedicada con una cuenta de administrador única para que el administrador siempre pueda estar conectado. Si la cuenta de administrador que instaló el agente no ha iniciado sesión, el colector no se ejecuta.
Para instalar el Agente de WatchGuard para Windows:
- Inicie sesión en su cuenta de WatchGuard Cloud.
- Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
- Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
- En la pestaña Agentes de Colección de ThreatSync+ NDR, haga clic en Agregar Colector.
- En la sección Descargar e Instalar el Agente de WatchGuard, haga clic en Descargar el Agente de WatchGuard.
Se abre el cuadro de diálogo Descargar Instalador del Agente de WatchGuard. - En el cuadro de diálogo Descargar Instalador del Agente de WatchGuard, seleccione Windows.
- (Opcional) Haga clic en Copiar URL de Descarga para guardar la URL de descarga.
- Haga clic en Descargar.
Se descarga el archivo Windows WatchGuard_Agent.msi. - Copie el archivo .MSI en la computadora o servidor con Windows desde el que desea recibir los registros.
- Haga doble clic en el archivo WatchGuard_Agent.msi y complete los pasos en el asistente.
Una barra de progreso aparece durante el proceso de instalación. El agente abre una ventana de consola de Ubuntu durante la instalación. No debe cerrar esta ventana. La computadora o servidor con Windows se reiniciará para completar la instalación.
Para comprobar que WatchGuard Agent se haya instalado correctamente, asegúrese de que la pestaña Agentes de Colección de ThreatSync+ NDR muestre el estado Exitoso. El colector de Windows muestra el estado en tiempo real, que se actualiza aproximadamente cada cinco minutos.
Para obtener información sobre cómo desinstalar el Agente de WatchGuard o el Agente de Colección de ThreatSync+ NDR, vaya a Eliminar el Agente de Colección de ThreatSync+ NDR para Windows.
Configurar Colectores para ThreatSync+ NDR
Para recopilar registros DHCP de Active Directory, debe agregar y configurar ambos tipos de agentes de colección en su red: primero el Agente de Colección de ThreatSync+ NDR y luego el Agente de Registro de Windows.
Configure los Agentes de Colección de ThreatSync+ NDR en la página Colectores.
La pestaña Agentes de Colección de ThreatSync+ NDR muestra estas columnas:
- Nombre — Nombre del colector.
- Dirección IP — Dirección IP de la computadora donde está instalado el colector.
- Última Actualización — Fecha y hora de la última actualización de los datos del colector.
- Última Actividad — Fecha y hora en que el colector envió datos por última vez a ThreatSync+ NDR.
- Monitorización de NetFlow — Muestra el estado de la monitorización de NetFlow (si el proceso nfcapd se está ejecutando). Por ejemplo, En Ejecución o Detenido.
- Monitorización de sFlow — Muestra el estado de la monitorización de sFlow (si el proceso sfcapd se está ejecutando). Por ejemplo, En Ejecución o Detenido.
- Estado — Muestra el estado del colector. Haga clic en el estado para ver más información. El estado puede incluir:
- Éxito — El colector está instalado y recibe datos de la red.
- Sin Información — No se pudo informar el estado del colector.
- Desconectado — El colector está desconectado.
- Error — El colector encontró un error. Para más información, vaya a Resolver Problemas del Agente de Colección de ThreatSync+ NDR para Windows.
Agregar un Agente de Colección de ThreatSync+ NDR para Windows
Por lo general, solo se requiere un Agente de Colección de ThreatSync+ NDR para cada ubicación física en su red. Para recopilar registros de datos DHCP, debe agregar el Agente de Colección de ThreatSync+ NDR en una computadora con Windows con una dirección IP estática.
Para agregar un Agente de Colección de ThreatSync+ NDR:
- Inicie sesión en su cuenta de WatchGuard Cloud.
- Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
- Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
- En la pestaña Agentes de Colección de ThreatSync+ NDR, haga clic en Agregar Colector.
- En la lista desplegable Host, seleccione la computadora con Windows que desea utilizar como Agente de Colección de ThreatSync+ NDR.
Esta lista incluye todas las computadoras con Windows que tienen instalado el Agente de WatchGuard. Para actualizar la lista de computadoras y servidores disponibles, haga clic en
. - Haga clic en Guardar.
El agente de colección comienza a informar datos a ThreatSync+ NDR. Puede ver la información de tráfico reportada en la página Resumen de la Red. - En la computadora host, haga clic en Aceptar cuando se abra el cuadro de diálogo Permisos Requeridos.
Es posible que el cuadro de diálogo Permisos Requeridos tarde un poco en aparecer en la computadora host.
Registre la dirección IP del Agente de Colección de ThreatSync+ NDR. Debe ingresar la dirección IP para configurar el Agente de Registro de Windows.
Silenciar las Notificaciones de Fallos del Agente de Colección de ThreatSync+ NDR
Puede editar un Agente de Colección de ThreatSync+ NDR existente y silenciar las notificaciones de fallos de un agente de colección específico. También puede silenciar las notificaciones de fallos de un origen de registro que agregue y configure.
Para configurar las notificaciones de fallos para un Agente de Colección de ThreatSync+ NDR existente:
- Inicie sesión en su cuenta de WatchGuard Cloud.
- Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
- Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
- En la pestaña Agentes de Colección de ThreatSync+ NDR, junto al Agente de Colección de ThreatSync+ NDR que desea editar, haga clic en
. Haga clic en Editar.
Aparecerán las opciones para silenciar los fallos.
- Seleccione una de estas opciones:
- Silenciar notificaciones de fallos repetidos — Seleccione esta opción para silenciar las notificaciones sucesivas de fallos de este colector. Cuando está seleccionada, solo se envía una única notificación para este colector cuando se produce un fallo del colector.
- Silenciar todas las notificaciones de fallos — Seleccione esta opción para silenciar todas las notificaciones de fallos de este colector. Cuando se selecciona esta opción, no se envían notificaciones para este colector cuando ocurre un fallo del colector.
- Silenciar notificaciones de fallos de estos orígenes — Seleccione esta opción para agregar y configurar orígenes de registro específicos para los que desea silenciar las notificaciones de fallos. Esta opción silencia todas las notificaciones de fallos del colector para el origen de registro configurado. Cuando se selecciona esta opción, no se envían notificaciones para este origen de registro cuando ocurre un fallo del colector. Para agregar un origen de registro, vaya al paso 6.
- Seleccione Silenciar notificaciones de fallos de estos orígenes para agregar y configurar un origen de registro para el que desee silenciar las notificaciones.
- Haga clic en Agregar Origen y Tipo.
Se abre el cuadro de diálogo Agregar Origen y Tipo.
- Haga clic en Agregar Origen y Tipo.
- En el cuadro de texto Origen, ingrese la dirección IP de origen.
- En la lista desplegable Tipo, seleccione NetFlow/sFlow o DHCP para el tipo de origen.
- Haga clic en Agregar.
- Haga clic en Guardar.
Se agrega el nuevo origen.
- Para eliminar un origen, haga clic en
. Haga clic en Guardar.
Eliminar el Agente de Colección de ThreatSync+ NDR para Windows
Si ya no desea utilizar un Agente de Colección de ThreatSync+ NDR específico, puede eliminarlo de la UI de Integraciones de ThreatSync+. Cuando elimina el agente de colección de la UI, el Agente de WatchGuard desinstala automáticamente el agente de colección.
Para eliminar un Agente de Colección de ThreatSync+ NDR:
- Inicie sesión en su cuenta de WatchGuard Cloud.
- Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
- Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
- En la pestaña Agentes de Colección de ThreatSync+ NDR, seleccione uno o más colectores que desee eliminar.
- Haga clic en Eliminar.
El Agente de WatchGuard desinstala el Agente de Colección de ThreatSync+ NDR.
Para desinstalar Agente de WatchGuard junto con el Agente de Colección de ThreatSync+ NDR, desinstálelo de la computadora o el servidor donde lo instaló. Para más información, vaya a la documentación del producto para su computadora o servidor.
Instalar el Agente de Registro de Windows
El Agente de Registro de Windows es un agente de colección que lee los registros del servidor DHCP de Windows y, a continuación, los reenvía al Agente de Colección de ThreatSync+ NDR. A continuación, el Agente de Colección de ThreatSync+ NDR reenvía los registros DHCP a WatchGuard Cloud.
Para que el Agente de Colección de ThreatSync+ NDR para Windows reciba los registros del servidor DHCP, debe instalar y configurar el Agente de Registro de Windows en su red. Puede instalar el Agente de Registro de Windows en Windows Server 2019 o 2022. Algunos de estos servidores también podrían ser controladores de dominio. Para más información, vaya a Configurar el Agente de Registro de Windows.
Para realizar un seguimiento de los dispositivos cuando cambian su dirección IP, le recomendamos que utilice el Agente de Registro de Windows para recopilar registros DHCP de Active Directory. Agregue y configure el Agente de Registro de Windows en todos los servidores DHCP.
Resolver Problemas del Agente de Colección de ThreatSync+ NDR para Windows
Si no ve la información de tráfico notificada en la página Resumen de Red en un plazo de 60 a 90 minutos, puede utilizar la información de esta sección para la resolución de problemas del colector.
Para resolver problemas del Agente de Colección de ThreatSync+ NDR para Windows:
- Asegúrese de que la computadora con Windows cumple los requisitos descritos en la sección Requisitos del Sistema .
- Asegúrese de que la cuenta de administrador que instaló el Agente de WatchGuard ha iniciado sesión en la computadora con Windows donde está instalado el Agente de Colección de ThreatSync+ NDR. Le recomendamos que cree una cuenta de administrador de instalación dedicada. El administrador de instalación siempre debe estar conectado.
- Durante el proceso de instalación, el Agente de WatchGuard abre una ventana de consola de Ubuntu. No cierre esta ventana. Utilice el comando wsl -l de PowerShell para confirmar que el Agente de WatchGuard se haya instalado correctamente.
- Utilice el comando netstat -l de PowerShell para confirmar que la computadora pueda escuchar en estos puertos:
- Puerto 2055 — Datos de registro de NetFlow desde endpoints
- Puerto 6343 — Datos de registro de sFlow desde endpoints
- Puerto 514 — Datos de registro DHCP del Agente de Registro de Windows
- Asegúrese de que no haya ninguna regla de firewall que bloquee el tráfico de estos puertos: 2055, 6343 y 514. Para un Firebox administrado en la nube, elimine el puerto bloqueado 514 en la página Configurar > Dispositivos > Configuración del Dispositivo > Bloqueo de Red en WatchGuard Cloud. Para obtener información sobre cómo eliminar un puerto bloqueado para Fireboxes administrados localmente, vaya a Bloquear un Puerto en la Ayuda de Fireware.
- Asegúrese de que la virtualización esté habilitada en la BIOS. Estos entornos de virtualización están verificados:
| Entorno de Virtualización del Colector de ThreatSync+ NDR | Microsoft Windows 10 | Microsoft Windows 11 | Microsoft Windows Server 2022 |
|---|---|---|---|
| Hyper-V |  | | |
| VMware ESXi 6.7 | | | |
| VMware ESXi 7.0.3 | | | * |
| VMware ESXi 8.0 | | | |
| KVM Hypervisor QEMU 9.0.0 | | |
*Windows Server 2022, compilación 20.348.2527
- En la página Configurar > Integraciones de ThreatSync+ > Colectores, revise la columna Estado en la tabla Colectores. Haga clic en el estado para obtener más información:
- Éxito — El colector está instalado y recibe datos de la red.
- Sin Información — No se pudo informar el estado del colector.
- Desconectado — El colector está desconectado.
- Error — El colector encontró un error.
Si se encuentra con el Error Genérico 1603, compruebe que tiene habilitada la virtualización. Para más información, vaya a Requisitos del Sistema.
Para resolver problemas del Agente de Registro de Windows, vaya a Resolver Problemas del Agente de Registro de Windows.
Configurar Colectores para ThreatSync+ NDR (Computadoras con Linux)