Aplica A: ThreatSync
Algunas de las funciones descritas en este tema están disponibles solo para los participantes en el programa ThreatSync Beta. Si una función descrita en este tema no está disponible en su versión de WatchGuard Cloud, es una función exclusiva del programa beta.
A medida que monitoriza las amenazas detectadas por ThreatSync y revisa los detalles de un incidente o endpoint, puede decidir realizar acciones para remediarlos, o revertir una acción que un producto o servicio de WatchGuard haya realizado automáticamente.
- Para enviar datos a ThreatSync y recibir acciones, los Fireboxes deben ejecutar Fireware v12.9 o superior y deben añadirse a WatchGuard Cloud para la generación de registros y presentación de informes o la administración en la nube.
- Para enviar datos a ThreatSync, los puntos de acceso deben ejecutar el firmware v2.0 o superior y tener habilitada la Monitorización del Espacio Aéreo.
- Para realizar acciones de respuesta contra puntos de acceso de amenazas en integraciones con ThreatSync, los puntos de acceso deben ejecutar el firmware v2.7 o superior y tener habilitada la Monitorización del Espacio Aéreo.
- Se requiere un AP230W, AP330 o AP430CR con una radio de escaneo dedicada para la detección de Evil Twin por aire y las acciones de respuesta de ThreatSync para bloquear las conexiones de clientes inalámbricos a puntos de acceso maliciosos.
- Usted no puede realizar acciones de respuesta por aire contra puntos de acceso maliciosos que utilicen seguridad WPA3 o WPA2 con Marcos de Administración Protegidos habilitados (802.11w).
- No puede realizar acciones de respuesta por aire contra puntos de acceso maliciosos que emitan en un canal que no se encuentre en el país de funcionamiento actual del punto de acceso detectado.
Puede realizar estas acciones manualmente desde la interfaz de usuario de ThreatSync:
- Bloquear IP/Desbloquear IP — Bloquea o desbloquea la dirección IP externa asociada con el incidente. Cuando selecciona esta acción, todos los Fireboxes en la cuenta WatchGuard Cloud bloquean o desbloquean las conexiones hacia y desde la dirección IP.
Las direcciones IP bloqueadas por ThreatSync no aparecen en la lista de Sitios Bloqueados por el Firebox en Fireware o WatchGuard Cloud. Para más información, vaya a Administrar Elementos Bloqueados por ThreatSync.
- Eliminar Archivo/Restaurar Archivo — Elimina el archivo marcado asociado al incidente, o restaura un archivo previamente eliminado.
- Aislar Dispositivo/Dejar de Aislar Dispositivo — Aísla la computadora de la red para evitar la propagación de la amenaza y bloquear la filtración de información confidencial, o deja de aislar una computadora previamente aislada.
- Bloquear Punto de Acceso / Dejar de Bloquear Punto de Acceso — Bloquea las conexiones de clientes inalámbricos a los puntos de acceso maliciosos.
El punto de acceso WatchGuard que detecta el dispositivo malicioso debe tener una radio de escaneo dedicada para realizar acciones de respuesta por aire y bloquear las conexiones de los clientes inalámbricos a un punto de acceso malicioso.
- Detener Proceso — Interrumpe un proceso que mostró un comportamiento malicioso asociado con el incidente.
- Control Remoto — Se conecta de forma remota a la computadora con Windows seleccionada en su red para permitirle investigar y remediar un posible ataque. La herramienta de control remoto requiere Advanced EPDR. Para más información, vaya a Acerca de la Herramienta Control Remoto.
- Bloquear/Desbloquear Usuario — Bloquea o desbloquea al usuario asociado con un incidente de Acceso con Credenciales en AuthPoint. Para obtener más información sobre cómo bloquear usuarios o activar usuarios bloqueados en AuthPoint, vaya a Bloquear un Usuario o Token.
No todas las acciones se aplican a todos los tipos de incidentes.
Cuando cambia el estado de un incidente o realiza una acción en él, se abre un cuadro de diálogo con un cuadro de texto para agregar un comentario opcional. Estos comentarios aparecen en el panel Comentarios en la página Detalles del Incidente. Para más información, vaya a Revisar los Detalles del Incidente.
Realizar una Acción
Puede realizar acciones desde la página Incidentes, la página Detalles del Incidente y la página Endpoints.
Para realizar una acción para uno o varios incidentes, desde la página Incidentes:
- Seleccione Monitorizar > Amenazas > Incidentes.
Se abre la página Incidentes. - Marque la casilla de selección junto a uno o más incidentes en la lista.
Aparecen los menús Cambiar Estado y Acciones. - En la lista desplegable Acciones, seleccione la acción que desea realizar.
Las recomendaciones para un incidente en la página Detalles del Incidente determinan qué acciones están disponibles en la lista desplegable Acciones de la página Incidentes. Por ejemplo, si la acción recomendada para un incidente es aislar un dispositivo, se activa la opción Aislar/Dejar de aislar dispositivo en la lista desplegable Acciones.
Para realizar una acción para un incidente, desde la página Detalles del Incidente:
- Seleccione Monitorizar > Amenazas > Incidentes.
Se abre la página Incidentes. - Haga clic en un incidente en la lista de incidentes.
Se abre la página Detalles del Incidente. - Para realizar una acción:
- En la sección Detalles de Amenaza, haga clic en una acción.
- En otras secciones, haga clic en el icono del rayo
para abrir el menú de acciones y, a continuación, seleccione una acción.
Para realizar una acción en uno o más endpoints, desde la página Endpoints:
- Seleccione Monitorizar > Amenazas > Endpoints.
Se abre la página Endpoints. - Marque la casilla de selección junto a uno o más endpoints en la lista.
Aparece el menú Acciones. - En la lista desplegable Acciones, seleccione la acción que desea realizar.
Si se produce un error y ThreatSync no puede realizar una acción, aparecerá un icono con un signo de exclamación rojo o un mensaje de error. Para más información, vaya a Resolución de Problemas de Errores de Incidentes.
Puede configurar notificaciones para generar alertas cuando se realicen acciones. Para más información, vaya a Configurar las Reglas de Notificación de ThreatSync.
Detener o Revertir una Acción
En caso de ser necesario, puede detener o revertir una acción realizada anteriormente. Por ejemplo, si realizó una acción para bloquear una dirección IP, puede desbloquear la dirección IP.
- Seleccione Monitorizar > Amenazas > Incidentes.
Se abre la página Incidentes. - En la columna de la izquierda, marque la casilla de selección correspondiente a uno o varios incidentes.
Aparecen los menús Cambiar Estado y Acciones. - En la lista desplegable Acciones, seleccione la acción que desea detener o revertir.
- Seleccione Monitorizar > Amenazas > Incidentes.
Se abre la página Incidentes. - Haga clic en un incidente en la lista de incidentes.
Se abre la página Detalles del Incidente. - En la sección Detalles de Amenaza, seleccione la acción que desea detener o revertir.
- Seleccione Monitorizar > Amenazas > Endpoints.
Se abre la página Endpoints. - Marque la casilla de selección junto a uno o más endpoints en la lista.
Aparece el menú Acciones. - En la lista desplegable Acciones, seleccione Detener Aislamiento.
- Seleccione Configurar > ThreatSync > Elementos Bloqueados.
Se abre la página Elementos Bloqueados por ThreatSync. - Seleccione la pestaña Firebox.
- Seleccione una o varias direcciones IP bloqueadas.
- Haga clic en Desbloquear.
Todos los Fireboxes elegibles dejan de bloquear el tráfico hacia y desde las direcciones IP seleccionadas.
- Seleccione Configurar > ThreatSync > Elementos Bloqueados.
Se abre la página Elementos Bloqueados por ThreatSync. - Seleccione la pestaña Punto de Acceso.
- Seleccione una o más direcciones MAC de punto de acceso bloqueado.
- Haga clic en Desbloquear.
Todos los puntos de acceso seleccionados dejan de estar bloqueados.
Revisar los Detalles del Incidente
Cerrar o Cambiar el Estado de los Incidentes
Monitorizar los Endpoints de ThreatSync
Administrar Elementos Bloqueados por ThreatSync
Resolución de Problemas de Errores de Incidentes