Aplica A: ThreatSync+ NDR
Para obtener visibilidad de su red, puede monitorizar el tráfico IP en todos los dispositivos de su red.
Los Fireboxes administrados en la nube y administrados localmente con generación de informes en la nube que ejecutan Fireware v12.10.3 y superior envían automáticamente los datos de tráfico de red a WatchGuard Cloud y ThreatSync+ NDR. Este feed de datos proporciona la información necesaria para que ThreatSync+ NDR identifique y detecte posibles amenazas y actividades sospechosas, como movimientos laterales, túneles DNS, escaneos rápidos y lentos, y exfiltración de datos.
Para los Fireboxes administrados localmente con generación de informes en la nube, debe habilitar el Firebox para que envíe mensajes de registro para los informes en cada política. Para más información, vaya a Establecer las Preferencias de Generación de Registros y Notificación en la Ayuda de Fireware.
Para los Fireboxes que ejecutan versiones anteriores de Fireware, firewalls de terceros o conmutadores, puede utilizar dispositivos de colección locales basados en Windows o Linux denominados colectores para monitorizar el tráfico de red. Los colectores toman feeds de datos como NetFlow, sFlow o registros del servidor DHCP de Windows directamente de conmutadores y firewalls de terceros, y los reenvían a través de una conexión segura a WatchGuard Cloud. Estos feeds de datos incluyen información sobre el tráfico que fluye a través del conmutador o firewall hacia los dispositivos de red.
Acerca de los Agentes de Colección para ThreatSync+ NDR
Para instalar y configurar colectores en computadoras y servidores, primero debe descargar e instalar el Agente de WatchGuard y, a continuación, configurar los colectores para ThreatSync+ NDR.
El Agente de Colección de ThreatSync+ NDR recibe datos de registro de los conmutadores y enrutadores de su red, datos DHCP del Agente de Registro de Windows y datos de Fireboxes administrados localmente, y envía los datos a WatchGuard Cloud.
El Agente de Colección de ThreatSync+ NDR escucha en el:
- Puerto 2055 para datos de registro NetFlow desde endpoints.
- Puerto 6343 para datos de registro sFlow desde endpoints.
- Puerto 514 para datos de registro DHCP del Agente de Registro de Windows.
Agente de Colección de ThreatSync+ NDR para Windows
Puede instalar el Agente de Colección de ThreatSync+ NDR en computadoras con Windows que ejecuten Windows 10, Windows 11 o Windows Server 2022.
Para instalar y configurar el Agente de WatchGuard y el Agente de Colección de ThreatSync+ NDR para Windows, vaya a Configurar Colectores para ThreatSync+ NDR (Computadoras con Windows).
Agente de Colección de ThreatSync+ NDR para Linux
Puede instalar el Agente de Colección de ThreatSync+ NDR en computadoras con Linux que ejecuten Ubuntu 22.04 Server LTS o 24.04 Server LTS.
Para instalar y configurar el Agente de WatchGuard y el Agente de Colección de ThreatSync+ NDR para Linux, vaya a Configurar Colectores para ThreatSync+ NDR (Computadoras con Linux).
Agente de Registro de Windows
El Agente de Registro de Windows es un agente de colección que lee los registros del servidor DHCP de Windows y, a continuación, los reenvía al Agente de Colección de ThreatSync+ NDR. A continuación, el Agente de Colección de ThreatSync+ NDR reenvía los registros DHCP a WatchGuard Cloud.
Puede instalar el Agente de Registro de Windows en Windows Server 2019 o 2022. Algunos de estos servidores también podrían ser controladores de dominio.
Para realizar un seguimiento de los dispositivos cuando cambian su dirección IP, le recomendamos que utilice el Agente de Registro de Windows para recopilar registros DHCP de Active Directory. Agregue y configure el Agente de Registro de Windows en todos los servidores DHCP.
Para instalar y configurar el Agente de Registro de Windows, vaya a Configurar el Agente de Registro de Windows.
Inicio Rápido — Configurar ThreatSync+ NDR