Monitorizar los Endpoints de ThreatSync

Aplica A: ThreatSync

La página Endpoints proporciona una lista centralizada de endpoints y permite a los Respondedores ante Incidentes revisar y realizar acciones de remediación para los dispositivos de endpoint.

Para abrir la página Endpoints de ThreatSync, seleccione Monitorizar > Amenazas > Endpoints.

Desde la página Endpoints, puede:

Para más información sobre cómo realizar acciones en un endpoint, vaya a Realizar Acciones sobre Incidentes y Endpoints.

Para abrir la página Endpoints de ThreatSync:

  1. Seleccione Monitorizar > Amenazas > Endpoints.
    Se abre la página Endpoints.

  1. Para ver endpoints específicos en la página:
  2. Para ver una lista de incidentes para un endpoint específico, ubique el endpoint en la lista y haga clic en Icono Expandir en la parte derecha de la fila. Para más información, vaya a Revisar los Detalles del Endpoint.
    Se abre la lista Incidentes para ese endpoint.

Screenshot of the Endpoints page with an endpoint incident list expanded.

  1. Para ver información más detallada de un incidente específico en la página Detalles del Incidente, haga clic en el incidente. ¡Consejo! Para más información, vaya a Revisar los Detalles del Incidente.

Puede realizar acciones en endpoints e incidentes relacionados directamente desde la página Endpoints. Para más información, vaya a Realizar Acciones sobre Incidentes y Endpoints.

Revisar los Detalles del Endpoint

Los endpoints de la lista de endpoints incluyen una puntuación de riesgo del endpoint, una escala de tiempo de los incidentes relacionados con el endpoint y una lista ampliable de los incidentes que se han producido en el endpoint.

Puntuación de Riesgo de Endpoints

Los Respondedores ante Incidentes pueden utilizar las puntuaciones de riesgo de endpoints para investigar si un dispositivo supone una amenaza para la red. Las puntuaciones de riesgo aparecen como un valor numérico en un icono cuadrado al lado del endpoint en la lista de endpoints.

Screenshot of an endpoint risk score on the Endpoints page in ThreatSync.

El nivel de riesgo del endpoint está dividido en estas categorías, en función de la puntuación del riesgo del endpoint:

  • Crítico — Puntuaciones de 9 o 10
  • Alto — Puntuaciones de 7 o 8
  • Medio — Puntuaciones de 4, 5 o 6
  • Bajo — Puntuaciones de 1, 2 o 3

ThreatSync determina la puntuación de riesgo de un endpoint en función de las puntuaciones de riesgo de incidentes asociadas al endpoint en los últimos 30 días. El valor de la puntuación de riesgo de incidentes más alta detectada en el endpoint en los últimos 30 días es el valor de la puntuación de riesgo del endpoint. Por ejemplo, si un endpoint tiene dos incidentes abiertos en un período de 30 días, uno con una puntuación de riesgo de incidentes de 9 y otro con una puntuación de riesgo de 7, la puntuación de riesgo del endpoint es 9.

ThreatSync solo utiliza incidentes nuevos y leídos para determinar las puntuaciones de riesgo de los endpoints, no los incidentes cerrados. Cuando se produce un nuevo incidente o se cierra uno, ThreatSync vuelve a calcular la puntuación de riesgo del endpoint. Tras la detección de un nuevo incidente, las puntuaciones recalculadas de riesgo de los endpoints pueden tardar varios segundos en aparecer en ThreatSync.

Escala de Tiempo de Endpoint

La escala de tiempo de endpoint muestra la secuencia de incidentes detectados durante un período de tiempo específico.

Screenshot of an endpoint timeline.

La escala de tiempo se divide en cuadrados codificados por colores. Cada cuadrado de la escala de tiempo representa un día. El color del cuadrado corresponde a la puntuación de riesgo del incidente de mayor riesgo de ese día.

Para ver los detalles sobre los tipos de incidentes que se produjeron en un día específico, haga clic en un cuadrado.

Screenshot of an endpoint timeline with the details for a day on the timeline open.

Los detalles del día seleccionado pueden incluir:

  • Incidentes — El número de incidentes detectados para cada tipo de incidente.
  • Visto por Primera Vez — Fecha y hora en que se detectó el incidente por primera vez.
  • Visto por Última Vez — Fecha y hora en que se detectó el incidente por última vez.
  • Cuenta — La cuenta asociada al endpoint.

Cambiar el Intervalo de Fechas

De forma predeterminada, la lista de endpoints muestra los endpoints asociados a incidentes para la fecha actual. Para ver endpoints de fechas diferentes, puede cambiar el intervalo de fechas.

Para filtrar la lista de endpoints por intervalo de fechas:

  1. Haga clic en el icono del calendario Screen shot of the calendar icon for the date picker.
  2. En la lista desplegable, seleccione uno de estos períodos de tiempo:
    • Hoy
    • Ayer
    • Las Últimas 24 Horas
    • Los Últimos 7 Días
    • Los Últimos 14 Días
    • Este Mes
    • El Mes Pasado
    • Personalizado
  3. Si selecciona Personalizado, especifique una fecha de inicio y fin para el período de tiempo personalizado y, a continuación, haga clic en Guardar.

Ordenar y Filtrar la Lista Incidentes

De forma predeterminada, la lista de endpoints muestra los endpoints ordenados por nivel de riesgo en orden descendente, de modo que las amenazas más críticas aparecen al principio de la lista.

Para personalizar los endpoints que se muestran, puede filtrar la lista alfabéticamente, por fecha o por nivel de riesgo.

Para ordenar la lista de endpoints, en ThreatSync:

  1. En la parte superior derecha de la página Endpoints, haga clic en El icono Ordenar.
    Se abre una lista desplegable.

Screenshot of the Sort drop-down list on the Endpoints page in ThreatSync.

  1. Seleccione si desea ordenar los incidentes alfabéticamente, por fecha o por nivel de riesgo, en orden ascendente o descendente.

Para filtrar la lista de incidentes, en ThreatSync:

  1. En la parte superior derecha de la página Endpoints, haga clic en El icono Filtrar.
    Se abre el cuadro de diálogo Filtrar.

Screenshot of the Filter dialog box.

  1. Seleccione una o varias opciones de filtrado:
  2. Haga clic en Aplicar Filtros.

Tipo de Incidente

Para filtrar la lista de incidentes por Tipo de Incidente, seleccione una o más de estas opciones:

  • Política de Seguridad Avanzada — La ejecución de scripts maliciosos y programas desconocidos que utilizan técnicas avanzadas de infección.
  • Exploit — Ataques que intentan inyectar código malicioso para explotar procesos vulnerables.
  • Intento de Intrusión — Un evento de seguridad en el que un intruso intenta obtener acceso no autorizado a un sistema.
  • IOA — Los Indicadores de Ataque (IOA) son indicadores que tienen alta probabilidad de ser un ataque.
  • URL Maliciosa — URL creada para distribuir malware, como ransomware.
  • IP Maliciosa — Una dirección IP asociada a una actividad maliciosa.
  • Malware — Software malicioso diseñado para dañar, interrumpir y obtener acceso no autorizado a sistemas informáticos.
  • PUP — Programas Potencialmente Indeseados (PUP) que pueden instalarse cuando se instala otro software en una computadora.
  • Virus — Código malicioso que se introduce en los sistemas informáticos.
  • Programa Desconocido — Programa bloqueado porque aún no ha sido clasificado por WatchGuard Endpoint Security. Para más información sobre lo que ocurre cuando Endpoint Security reclasifica un programa desconocido, vaya a Reclasificación de Incidentes.
  • Punto de Acceso Malicioso — Un punto de acceso inalámbrico no autorizado conectado a su red o que opera en su espacio aéreo.
  • Acceso con Credenciales — Incidente de AuthPoint que indica un intento de comprometer las credenciales de la cuenta.

Acción

Para filtrar la lista de incidentes por acción realizada con respecto al incidente, seleccione una o más de estas casillas:

  • Permitido (Modo Auditoría) — Se ha detectado un incidente, pero como el dispositivo está en modo Auditoría, no se realizó ninguna acción.
  • Conexión Bloqueada — Conexión bloqueada.
  • Proceso Bloqueado — Proceso bloqueado por un dispositivo de endpoint.
  • Dispositivo Aislado — La comunicación con el dispositivo está bloqueada.
  • Archivo Eliminado — El archivo se clasificó como malware y se eliminó.
  • IP Bloqueada — Las conexiones de red hacia y desde esta dirección IP están bloqueadas.
  • Bloquear Punto de Acceso — Las conexiones de clientes inalámbricos al punto de acceso malicioso están bloqueadas.
  • Proceso Detenido — Proceso finalizado por un dispositivo de endpoint.
  • Detectado — Se detectó un incidente, pero no se realizó ninguna acción.
  • Usuario Bloqueado — Incidente de Acceso con Credenciales en el que el usuario fue bloqueado en AuthPoint.

Para filtrar la lista de incidentes por estado de la acción, seleccione una o más de estas casillas:

  • Realizado — La acción solicitada se ha completado.
  • Realizando — La acción solicitada está en curso.
  • No Realizada — La acción solicitada aún no se ha realizado.
  • Error — La acción solicitada no se ha completado y ha devuelto un error. Para más información, vaya a Resolución de Problemas de Errores de Incidentes.

Riesgo de Endpoint

Para filtrar la lista de endpoints por nivel de riesgo, seleccione una o más de estas opciones:

  • 10 — Crítico
  • 9 — Crítico
  • 8 — Alto
  • 7 — Alto
  • 6 — Medio
  • 5 — Medio
  • 4 — Medio
  • 3 — Bajo
  • 2 — Bajo
  • 1 — Bajo

Para más información sobre cómo se determinan los niveles y las puntuaciones de riesgo, vaya a Niveles y Puntuaciones de Riesgo de ThreatSync.

Riesgo de Incidentes

Para filtrar la lista de endpoints por nivel de riesgo, seleccione una o más de estas opciones:

  • 10 — Crítico
  • 9 — Crítico
  • 8 — Alto
  • 7 — Alto
  • 6 — Medio
  • 5 — Medio
  • 4 — Medio
  • 3 — Bajo
  • 2 — Bajo
  • 1 — Bajo

Para más información sobre cómo se determinan los niveles y las puntuaciones de riesgo, vaya a Niveles y Puntuaciones de Riesgo de ThreatSync.

Aislar o Detener el Aislamiento de un Endpoint

Puede aislar o detener el aislamiento de uno o varios endpoints.

Para aislar un endpoint:

  1. Seleccione Monitorizar > Amenazas > Endpoints.
    Se abre la página Endpoints.
  2. Marque la casilla de selección junto a uno o más endpoints en la lista.
    Aparece el menú Acciones.

Screenshot of the Actions menu on the Endpoints page.

  1. En la lista desplegable Acciones, seleccione Aislar Dispositivo o, para detener el aislamiento en un endpoint, seleccione Detener Aislamiento.
    Se abre el cuadro de diálogo Aislar Dispositivo.

Screenshot of the Isolate Device dialog box.

  1. (Opcional) En el cuadro de texto, ingrese un comentario para la acción de aislamiento.
  2. (Opcional) Si desea crear excepciones al aislamiento y permitir las comunicaciones de procesos específicos, habilite Opciones Avanzadas.
    Las secciones Opciones avanzadas y Mostrar Mensaje en el Dispositivo aparecen en el cuadro de diálogo Aislar Dispositivo.

Screenshot of the Isolate Device dialog box with Advanced Options enabled.

  1. En el cuadro de texto Permitir Comunicación desde estos Procesos, ingrese los nombres de los procesos que desea permitir como excepciones al aislamiento. Por ejemplo, ingrese chrome.exe para permitir las comunicaciones desde Google Chrome.
  2. (Opcional) En el cuadro de texto Mostrar Mensaje en el Dispositivo, ingrese un mensaje personalizado que aparecerá en las computadoras aisladas. Si no desea que se muestre un mensaje en dispositivos aislados, deshabilite Mostrar Mensaje en el Dispositivo.
  3. Haga clic en Aislar Dispositivo.

Control Remoto

Con la herramienta de control remoto, puede conectarse de forma remota a las computadoras con Windows, Mac y Linux de su red desde la página Endpoints para investigar y remediar posibles ataques.

Para utilizar esta función, las computadoras remotas deben tener:

Para iniciar una sesión de control remoto desde ThreatSync:

  1. Seleccione Monitorizar > Amenazas > Endpoints.
    Se abre la página Endpoints.
  2. Marque la casilla de selección junto al endpoint.
    Aparece el menú Acciones.

Screenshot of the Actions menu with Remote Control highlighted.

  1. En la lista desplegable Acciones, seleccione Control Remoto.
    Se abre la ventana Control Remoto de la computadora.

Screenshot of the Remote Control window with the Terminal tab open.

Para más información sobre cómo utilizar el control remoto, vaya a Terminal de Control Remoto — Comandos y Parámetros y Acerca de la Herramienta Control Remoto.

Temas Relacionados

Monitorizar ThreatSync

Revisar los Detalles del Incidente

Resumen de Incidentes de ThreatSync

Configurar ThreatSync

Acerca de la Herramienta Control Remoto