Configurar Colectores para ThreatSync+ NDR (Computadoras con Linux)

Aplica A: ThreatSync+ NDR

El Agente de Colección de ThreatSync+ NDR para Linux recibe los datos de registro de los conmutadores y enrutadores de su red y los envía a WatchGuard Cloud.

El Agente de Colección de ThreatSync+ NDR escucha en el:

  • Puerto 2055 para datos de registro NetFlow desde endpoints.
  • Puerto 6343 para datos de registro sFlow desde endpoints.
  • Puerto 514 para datos de registro DHCP del Agente de Registro de Windows.

Puede instalar el Agente de Colección de ThreatSync+ NDR en computadoras con Linux que ejecuten Ubuntu 22.04 Server LTS o 24.04 Server LTS.

Para obtener información detallada sobre los sistemas operativos y entornos de virtualización admitidos para Linux, vaya a Requisitos del Sistema.

Descargar e Instalar el Agente de WatchGuard para Linux

La instalación del Agente de WatchGuard para Linux y del Agente de Colección de ThreatSync+ NDR es un proceso de dos pasos.

Para agregar y configurar un colector, primero debe descargar el Instalador del Agente de WatchGuard para Linux y, a continuación, ejecutar el asistente de instalación en una computadora con Linux que desee configurar como colector. Cuando instala el Agente de WatchGuard, este instala a su vez el Agente de Colección de ThreatSync+ NDR o el Agente de Registro de Windows. Utilice la UI de administración de ThreatSync para especificar las computadoras o servidores Linux que se utilizarán como colectores.

Caution: No puede instalar el Agente de Colección de ThreatSync+ NDR en endpoints que tengan instalados productos para seguridad de endpoints de Panda o Cytomic. El Agente de Colección de ThreatSync+ NDR solo es compatible con productos WatchGuard Endpoint Security.

Antes de Empezar

Antes de descargar el Agente de WatchGuard para Linux, asegúrese de que:

  • Tiene Ubuntu 22.04 Server LTS o 24.04 Server LTS instalado en una computadora dedicada al Agente de Colección de ThreatSync+ NDR para Linux.
  • Tiene permisos de rooteado para la computadora con Linux en el que desea instalar el Agente de WatchGuard. Tiene acceso sudo.
  • Ejecute este comando para comprobar el estado del firewall en Ubuntu:

    sudo ufw status verbose

    Si el firewall está activo, se muestra un mensaje de salida como Estado: activo. Si el estado del firewall es activo, debe ejecutar este comando para permitir los puertos en el firewall para que el Agente de Colección de ThreatSync+ NDR funcione:

    sudo ufw allow 2055/udp
    sudo ufw allow 6343/udp
    sudo ufw allow 514/udp

  • Tiene acceso a Internet desde Ubuntu para conectarse a ThreatSync+ NDR. Para verificar el acceso a Internet, ejecute este comando:
    ping -c 5 google.com
    Ejemplo:
    ping -c 5 google.com

    PING google.com(142.250.195.14): 56 data bytes
    64bytes from 142.250.195.14: icmp_seq=0 ttl=119 time=14.500 ms
    64bytes from 142.250.195.14: icmp_seq=1 ttl=119 time=15.518 ms
    64bytes from 142.250.195.14: icmp_seq=2 ttl=119 time=12.415 ms
    64bytes from 142.250.195.14: icmp_seq=3 ttl=119 time=17.130 ms|
    64bytes from 142.250.195.14: icmp_seq=4 ttl=119 time=15.416 ms

Requisitos del Sistema

El Agente de Colección de ThreatSync+ NDR para Linux debe cumplir estos requisitos:

  • Ubuntu 22.04 Server LTS o 24.04 Server LTS (completo) instalado con:
    • Núcleos de CPU mínimos: 2
    • Mínimo de 8 GB de RAM y 128 GB de espacio en disco

Solo se admite la instalación completa del servidor Ubuntu. No se admite la instalación predeterminada (anteriormente denominada mínima).

Solo se admite la instalación de Ubuntu en inglés.

Recomendamos Ubuntu 22.04 Server LTS. Si instala Ubuntu 24.04 Server LTS en el mismo servidor que WatchGuard EPDR, asegúrese de actualizar su protección de Linux a 3.0.5.00.0001 o superior.

Para redes con una velocidad NetFlow superior a 500.000 por minuto, se necesitan más CPU, RAM y espacio en disco.

  • Arquitectura x86-64 — Para verificar la arquitectura de su equipo, ejecute este comando:
    user@ndr-ubuntu24:~$ uname -m
    x86_64

Para más información sobre los sistemas operativos y entornos de virtualización admitidos, vaya a la sección Resolver Problemas del Agente de Colección de ThreatSync+ NDR para Linux en este documento o en Compatibilidad del Sistema Operativo para Componentes ThreatSync+ NDR en las Notas de Versión de ThreatSync+ NDR.

Instalar el Agente de WatchGuard para Linux

Instale el Agente de WatchGuard en cada computadora con Linux que desee configurar como colector. Por lo general, solo tiene que instalar el Agente de Colección de ThreatSync+ NDR en una computadora por cada ubicación física de su red.

Para instalar el Agente de WatchGuard para Linux:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
  3. Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
  4. En la pestaña Agentes de Colección de ThreatSync+ NDR, haga clic en Agregar Colector.
  5. En la sección Descargar e Instalar el Agente de WatchGuard, haga clic en Descargar el Agente de WatchGuard.
    Se abre el cuadro de diálogo Descargar Instalador del Agente de WatchGuard.
  6. En el cuadro de diálogo Descargar Instalador del Agente de WatchGuard, seleccione Linux.

Screenshot of the Add ThreatSync+ NDR Collection Agent page that shows the Linux installer option

  1. (Opcional) Haga clic en Copiar URL de Descarga para guardar la URL de descarga.
  2. Haga clic en Descargar.
    Se descarga el archivo WatchGuard Agent.run.
  3. Copie el archivo .RUN en la computadora o servidor con Linux desde el que desea recibir los registros.
  4. Inicie sesión en la computadora con Linux y compruebe que la versión del sistema operativo es compatible. Los campos Descripción y Versión muestran la versión.

    ndr@ndr-ubuntu:~$ lsb_release -a
    No hay módulos LSB disponibles.
    ID del Distribuidor: Ubuntu
    Descripción: Ubuntu 24.04.1 LTS
    Versión: 24.04
    Codename: noble
    ndr@ndr-ubuntu:~$

  1. Compruebe que se encuentra en el directorio donde copió el archivo WatchGuard Agent.run. Ejecute el comando ls -l para obtener una lista de los nombres de los archivos del directorio actual y compruebe que WatchGuard Agent.run aparece en la lista.

    ndr@ndr-ubuntu:~$ ls -1
    total 2072
    -rw-rw-r-- 1 ndr ndr 2121583 Oct 2 08:06 'WatchGuard Agent.run'
    ndr@ndr-ubuntu:~$

  2. Para instalar el Agente de WatchGuard, ejecute este comando:
    sudo bash "WatchGuard Agent.run"

    ndr@ndr-ubuntu24:~$ sudo bash 'WatchGuard Agent.run'
    [sudo] password for ndr:
    Verificando la integridad del archivo… 100% Todo está bien.
    Descomprimiendo el Instalador del Agente de WatchGuard 100%
    Se ha detectado un servidor de escritorio
    Instalando el repositorio debian
    Eliminando el repositorio debian
    Repositorio instalado
    Hit:1 https://repository.pandasecurity.com/aether/qa-us1/installers/agent/linux/1.15.00.0000/default/deb/common stable InRelease
    Hit:2 http://security.ubuntu.com/ubuntu noble-security InRelease
    Hit:3 http://in.archive.ubuntu.com/ubuntu noble InRelease
    Hit:4 http://in.archive.ubuntu.com/ubuntu noble-updates InRelease
    Hit:5 http://in.archive.ubuntu.com/ubuntu noble-backports InRelease
    Leyendo la lista de paquetes… Realizado
    Leyendo la lista de paquetes… Realizado
    Compilando el árbol de dependencias… Realizado
    Leyendo la información del estado… Realizado
    apt-transport-https ya es la versión más reciente (2.7.14build2).
    0 actualizados, 0 instalados recientemente, 0 para eliminar y 21 sin actualizar.
    Leyendo la lista de paquetes… Realizado
    Compilando el árbol de dependencias… Realizado
    Leyendo la información del estado… Realizado
    Se instalarán los siguientes paquetes NUEVOS: management-agent
    0 actualizados, 1 instalados recientemente, 0 para eliminar y 21 sin actualizar.
    Necesita obtener 0 B/15.3 MB de archivos.
    Después de esta operación, se utilizarán 130 MB de espacio en disco adicional.
    Seleccionando el paquete management-agent previamente no seleccionado.
    (Leyendo la base de datos … 150921 archivos y directorios instalados actualmente).
    Preparando para descomprimir .../management-agent_1.15.00.0000-1.10.00-2000-g8ff98e0_amd64.deb ...
    Ejecutando el script preinst con los parámetros: install 1.15.00.0000-1.10.00-2000-g8ff98e0 1.15.00.0000-1.10.00-2000-g8ff98e0
    Desempaquetando management-agent (1.15.00.0000-1.10.00-2000-g8ff98e0) ...
    Configurando management-agent (1.15.00.0000-1.10.00-2000-g8ff98e0) ...
    Ejecutando script postinst con parámetros: configure 1.15.00.0000-1.10.00-2000-g8ff98e0
    Creado symlink /etc/systemd/system/multi-user.target.wants/management-agent.service → /usr/libsystemd/system/management-agent.service.
    starting service
    La instalación del Agente de Administración se ha completado correctamente.
    Realizado Correctamente
    ndr@ndr-ubuntu24:~$

Si ve una salida con esta información, significa que ya tiene instalado el Agente de WatchGuard:

Leyendo la información del estado… Realizado
management-agent ya es la versión más reciente (1.15.00.0000-1.10.00-1988-gcffa169).
0 actualizados, 0 nuevos, 0 para eliminar y 15 sin actualizar.
Realizado Correctamente

Para comprobar que WatchGuard Agent se haya instalado correctamente, asegúrese de que la pestaña Agentes de Colección de ThreatSync+ NDR muestre el estado Exitoso. El colector de Linux muestra el estado en tiempo real, que se actualiza aproximadamente cada cinco minutos.

Screenshot of the Success status of the collector on the ThreatSync+ NDR Collection Agents tab

Después de instalar el Agente de WatchGuard en su computadora con Linux, compruebe que se ha creado un directorio en /opt/collector. Para más información, vaya a Resolver Problemas del Agente de Colección de ThreatSync+ NDR para Linux.

Para obtener información sobre cómo desinstalar el Agente de WatchGuard o el Agente de Colección de ThreatSync+ NDR, vaya a Eliminar el Agente de Colección de ThreatSync+ NDR para Linux.

Configurar Colectores para ThreatSync+ NDR

Para recopilar registros DHCP de Active Directory, debe agregar y configurar ambos tipos de agentes de colección en su red: primero el Agente de Colección de ThreatSync+ NDR y luego el Agente de Registro de Windows.

Screenshot of Configure > ThreatSync, ThreatSync+ NDR Collection Agents page

Configure los Agentes de Colección de ThreatSync+ NDR en la página Colectores.

La pestaña Agentes de Colección de ThreatSync+ NDR muestra estas columnas:

  • Nombre — Nombre del colector.
  • Dirección IP — Dirección IP de la computadora donde está instalado el colector.
  • Última Actualización — Fecha y hora de la última actualización de los datos del colector.
  • Última Actividad — Fecha y hora en que el colector envió datos por última vez a ThreatSync+ NDR.
  • Monitorización de NetFlow — Muestra el estado de la monitorización de NetFlow (si el proceso nfcapd se está ejecutando). Por ejemplo, En Ejecución o Detenido.
  • Monitorización de sFlow — Muestra el estado de la monitorización de sFlow (si el proceso sfcapd se está ejecutando). Por ejemplo, En Ejecución o Detenido.
  • Estado — Muestra el estado del colector. Haga clic en el estado para ver más información. El estado puede incluir:
    • Éxito — El colector está instalado y recibe datos de la red.
    • Sin Información — No se pudo informar el estado del colector.
    • Desconectado — El colector está desconectado.
    • Error — El colector encontró un error. Para más información, vaya a Resolver Problemas del Agente de Colección de ThreatSync+ NDR para Linux.
    • Inicialización — El Agente de WatchGuard está instalando el colector. El estado cambia a Exitoso después de que el colector comienza a enviar datos de latido (aproximadamente cinco minutos).

Agregar un Agente de Colección de ThreatSync+ NDR para Linux

Por lo general, solo se requiere un Agente de Colección de ThreatSync+ NDR para cada ubicación física en su red. Para recopilar registros de datos DHCP, debe agregar el Agente de Colección de ThreatSync+ NDR en una computadora con Linux con una dirección IP estática.

Para agregar un Agente de Colección de ThreatSync+ NDR:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
  3. Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
  4. En la pestaña Agentes de Colección de ThreatSync+ NDR, haga clic en Agregar Colector.

Screen shot of Configure > ThreatSync, Add ThreatSync+ NDR Collection Agents dialog box

  1. En la lista desplegable Host, seleccione la computadora con Linux que desea utilizar como Agente de Colección de ThreatSync+ NDR.
    Esta lista incluye todas las computadoras que tienen instalado el Agente de WatchGuard. Para actualizar la lista de computadoras y servidores disponibles, haga clic en .
  2. Haga clic en Guardar.
    El agente de colección comienza a informar datos a ThreatSync+ NDR. Puede ver la información de tráfico reportada en la página Resumen de la Red.

Registre la dirección IP del Agente de Colección de ThreatSync+ NDR. Debe ingresar la dirección IP para configurar el Agente de Registro de Windows.

Silenciar las Notificaciones de Fallos del Agente de Colección de ThreatSync+ NDR

Puede editar un Agente de Colección de ThreatSync+ NDR existente y silenciar las notificaciones de fallos de un agente de colección específico. También puede silenciar las notificaciones de fallos de un origen de registro que agregue y configure.

Para configurar las notificaciones de fallos para un Agente de Colección de ThreatSync+ NDR existente:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
  3. Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
  4. En la pestaña Agentes de Colección de ThreatSync+ NDR, junto al Agente de Colección de ThreatSync+ NDR que desea editar, haga clic en El icono Opciones. Haga clic en Editar.
    Aparecerán las opciones para silenciar los fallos.

  1. Seleccione una de estas opciones:
    • Silenciar notificaciones de fallos repetidos — Seleccione esta opción para silenciar las notificaciones sucesivas de fallos de este colector. Cuando está seleccionada, solo se envía una única notificación para este colector cuando se produce un fallo del colector.
    • Silenciar todas las notificaciones de fallos — Seleccione esta opción para silenciar todas las notificaciones de fallos de este colector. Cuando se selecciona esta opción, no se envían notificaciones para este colector cuando ocurre un fallo del colector.
    • Silenciar notificaciones de fallos de estos orígenes — Seleccione esta opción para agregar y configurar orígenes de registro específicos para los que desea silenciar las notificaciones de fallos. Esta opción silencia todas las notificaciones de fallos del colector para el origen de registro configurado. Cuando se selecciona esta opción, no se envían notificaciones para este origen de registro cuando ocurre un fallo del colector. Para agregar un origen de registro, vaya al paso 6.
  2. Seleccione Silenciar notificaciones de fallos de estos orígenes para agregar y configurar un origen de registro para el que desee silenciar las notificaciones.
    1. Haga clic en Agregar Origen y Tipo.
      Se abre el cuadro de diálogo Agregar Origen y Tipo.

    1. En el cuadro de texto Origen, ingrese la dirección IP de origen.
    2. En la lista desplegable Tipo, seleccione NetFlow/sFlow o DHCP para el tipo de origen.
    3. Haga clic en Agregar.
    4. Haga clic en Guardar.
      Se agrega el nuevo origen.

Screenshot of the added sources to mute failure notifications

    1. Para eliminar un origen, haga clic en El icono eliminar. Haga clic en Guardar.

Eliminar el Agente de Colección de ThreatSync+ NDR para Linux

Si ya no desea utilizar un Agente de Colección de ThreatSync+ NDR específico, puede eliminarlo de la UI de Integraciones de ThreatSync+. Cuando elimina el agente de colección de la UI, el Agente de WatchGuard desinstala automáticamente el agente de colección.

Para eliminar un Agente de Colección de ThreatSync+ NDR desde la UI:

  1. Inicie sesión en su cuenta de WatchGuard Cloud.
  2. Para las cuentas Service Provider, en el Administrador de Cuentas, seleccione Mi Cuenta.
  3. Seleccione Configurar > Integraciones de ThreatSync+ > Colectores.
  4. En la pestaña Agentes de Colección de ThreatSync+ NDR, seleccione uno o más colectores que desee eliminar.

Screenshot of the Collectors page, ThreatSync+ NDR Collections Agents tab that shows the Delete option when you select a collector to be deleted

  1. Haga clic en Eliminar.
    El Agente de WatchGuard desinstala el Agente de Colección de ThreatSync+ NDR.

Si desea desinstalar tanto el Agente de WatchGuard como el Agente de Colección de ThreatSync+ NDR, puede desinstalar el Agente de WatchGuard de su sistema Linux.

Para desinstalar el Agente de WatchGuard y el Agente de Colección de ThreatSync+ NDR de su sistema Linux, ejecute este comando:

/usr/local/management-agent/repositories/ma/install --remove

Ejemplo de salida:

sudo /usr/local/management-agent/repositories/ma/install --remove
Se ha detectado un servidor de escritorio
Leyendo la lista de paquetes… Realizado
Compilando el árbol de dependencias… Realizado
Leyendo la información del estado… Realizado
Se ELIMINARÁN los siguientes paquetes:
management-agent
0 actualizados, 0 instalados recientemente, 1 para eliminar y 15 sin actualizar.
Después de esta operación, se liberarán 130 MB de espacio en disco.
(Leyendo la base de datos… 150989 archivos y directorios instalados actualmente).
Eliminando management-agent (1.15.00.0000-1.10.00-1988-gcffa169) …
Ejecutando el script prerm con los parámetros: remove
Advertencia: El archivo de unidad, el archivo de configuración de origen o los archivos directos de management-agent.service cambiaron en el disco. Ejecute 'systemctl daemon-reload' para volver a cargar las unidades.
Se ha eliminado "/etc/systemd/system/multi-user.target.wants/management-agent.service".
Generación de informes de la desinstalación del agente
nfcapd killed (pid 7985)
nfcapd killed (pid 7987)
sfcapd killed (pid 8022)
sfcapd killed (pid 8023)
Eliminando los datos del usuario
Ejecutando el script postrm con los parámetros: remove
Realizado Correctamente

Instalar el Agente de Registro de Windows

El Agente de Registro de Windows es un agente de colección que lee los registros del servidor DHCP de Windows y, a continuación, los reenvía al Agente de Colección de ThreatSync+ NDR. A continuación, el Agente de Colección de ThreatSync+ NDR reenvía los registros DHCP a WatchGuard Cloud.

Para que el Agente de Colección de ThreatSync+ NDR para Linux reciba los registros del servidor DHCP, debe instalar y configurar el Agente de Registro de Windows en su red. Puede instalar el Agente de Registro de Windows en Windows Server 2019 o 2022. Algunos de estos servidores también podrían ser controladores de dominio. Para más información, vaya a Configurar el Agente de Registro de Windows.

Para realizar un seguimiento de los dispositivos cuando cambian su dirección IP, le recomendamos que utilice el Agente de Registro de Windows para recopilar registros DHCP de Active Directory. Agregue y configure el Agente de Registro de Windows en todos los servidores DHCP.

Resolver Problemas del Agente de Colección de ThreatSync+ NDR para Linux

Si la información de tráfico notificada no aparece en la página Resumen de Red en un plazo de 60 a 90 minutos, puede utilizar la información de esta sección para la resolución de problemas del colector.

Para resolver problemas del Agente de Colección de ThreatSync+ NDR para Linux:

  • Asegúrese de que la computadora con Linux cumpla los requisitos descritos en la sección Requisitos del Sistema .
  • Para ver el diagnóstico acerca del estado del firewall, el estado de Nfcapd, el estado de Sfcapd, la hora de la última carga y para probar la conectividad con WatchGuard, ejecute este comando:

    • sudo /opt/collector/scripts/collectorDiagnostics.sh

      Ejemplo de salida:

      ndr@ndr-ubuntu24:/$ sudo /opt/collector/scripts/collectorDiagnostics.sh
      [sudo] password for ndr:
      Nfcapd se está ejecutando
      Sfcapd se está ejecutando
      La última carga se produjo el jueves 3 de octubre a las 13:56:05 UTC 2024
      La prueba de conectividad con WatchGuard se ha realizado correctamente
      Iniciando la recopilación de datos de diagnóstico…

collectorDiagnostics.sh también recopila datos de diagnóstico en /opt/collector/staging que se pueden compartir con el Soporte de WatchGuard para la resolución de problemas.

  • Vea los registros del Agente de Colección de ThreatSync+ NDR en /opt/collector/logs.
  • Ejecute el comando netstat -na para confirmar que la computadora pueda escuchar estos puertos:
    • Puerto 2055 — Datos de registro de NetFlow desde endpoints
    • Puerto 6343 — Datos de registro de sFlow desde endpoints
    • Puerto 514 — Datos de registro DHCP del Agente de Registro de Windows

    Si no tiene netstat instalado, ejecute este comando: sudo apt install net-tools

  • Asegúrese de que no haya ninguna regla de firewall que bloquee el tráfico de estos puertos: 2055, 6343 y 514. Para un Firebox administrado en la nube, elimine el puerto bloqueado 514 en la página Configurar > Dispositivos > Configuración del Dispositivo > Bloqueo de Red en WatchGuard Cloud. Para obtener información sobre cómo eliminar un puerto bloqueado para Fireboxes administrados localmente, vaya a Bloquear un Puerto en la Ayuda de Fireware.
  • Confirme que ha instalado un entorno de virtualización compatible. Estos entornos de virtualización están verificados:
Entorno de Virtualización del Colector de ThreatSync+ NDRUbuntu 22.04 LTSUbuntu 24.04 LTS
Hyper-VIcono de la marca de verificaciónIcono de la marca de verificación
VMware ESXi 7.0.3Icono de la marca de verificaciónIcono de la marca de verificación
VMware ESXi 8.0Icono de la marca de verificaciónIcono de la marca de verificación
KVM Hypervisor QEMU 9.0.0Icono de la marca de verificaciónIcono de la marca de verificación
Oracle Virtual Box 7.0Icono de la marca de verificaciónIcono de la marca de verificación
  • En la página Configurar > ThreatSync > ThreatSync+ NDR > Colectores, revise la columna Estado en la tabla Colectores. Haga clic en el estado para obtener más información:
    • Éxito — El colector está instalado y recibe datos de la red.
    • Sin Información — No se pudo informar el estado del colector.
    • Desconectado — El colector está desconectado.
    • Error — El colector encontró un error.
    • Inicialización — El Agente de WatchGuard está instalando el colector. El estado cambia a Exitoso después de que el colector comienza a enviar datos de latido (aproximadamente cinco minutos).

Para resolver problemas del Agente de Registro de Windows, vaya a Resolver Problemas del Agente de Registro de Windows.

Temas Relacionados

Acerca de los Colectores de ThreatSync+ NDR

Configurar Colectores para ThreatSync+ NDR (Computadoras con Windows)

Inicio Rápido — Configurar ThreatSync+ NDR

Configurar ThreatSync+