Prácticas Recomendadas de ThreatSync

Aplica A: ThreatSync

Algunas de las funciones descritas en este tema están disponibles solo para los participantes en el programa ThreatSync Beta. Si una función descrita en este tema no está disponible en su versión de WatchGuard Cloud, es una función exclusiva del programa beta.

Para optimizar la recopilación y correlación de datos de sus dispositivos de red y endpoint para detectar y responder a las amenazas, le recomendamos que siga estas prácticas recomendadas para instalar y configurar ThreatSync:

Antes de Empezar
Ajustes Recomendados del Firebox
Ajustes Recomendados del Punto de Acceso
Ajustes Recomendados de Endpoint Security
Configurar los Ajustes del Dispositivo
Mejores Prácticas de Configuración de Política de automatización
- Política de Automatización de Remediación Predeterminada
- Política de Automatización de Cierre Predeterminada
Excepciones de Sitios Bloqueados en un Firebox
Puntos de Acceso de Confianza
Reglas de Notificación Recomendadas

Antes de Empezar

Antes de instalar y configurar ThreatSync, asegúrese de que cumple los requisitos previos del Firebox, punto de acceso y Endpoint Security especificados en Inicio Rápido — Configurar ThreatSync.

Ajustes Recomendados del Firebox

Para asegurarse de que su Firebox envía datos de incidentes a ThreatSync:

Confirme que estos servicios de seguridad que generan incidentes de ThreatSync están habilitados y configurados en el Firebox:
APT Blocker
Gateway AntiVirus
WebBlocker
IPS
Para Fireboxes Administrados Localmente:
Habilite la inspección de contenido en acciones de proxy HTTPS. Para más información, vaya a Proxy HTTPS: Inspección de Contenido.
Habilite la generación de registros para todas las políticas y servicios. Para más información, vaya a Establecer las Preferencias de Generación de Registros y Notificación.
Para Fireboxes administrados en la nube, habilite la opción Descifrar el Tráfico HTTPS en las políticas de firewall salientes para el tráfico web. Para más información, vaya a Configurar los Tipos de Tráfico en una Política de Firewall.

Ajustes Recomendados del Punto de Acceso

Para asegurarse de que los puntos de acceso administrados por WatchGuard Cloud pueden enviar datos de incidentes a ThreatSync y realizar acciones de respuesta, confirme lo siguiente:

Puntos de acceso con licencia de WatchGuard USP Wi-Fi Management
Los puntos de acceso ejecutan el firmware v2.0 o superior para enviar datos a ThreatSync
Los puntos de acceso ejecutan el firmware v2.7 o superior para realizar acciones de respuesta contra puntos de acceso de amenaza cuando se integran con ThreatSync.
La Monitorización del Espacio Aéreo está habilitada para detectar puntos de acceso maliciosos y realizar acciones de respuesta. Para más información sobre los requisitos y cómo habilitar esta función, vaya a Monitorización del Espacio Aéreo del Punto de Acceso.
Ha implementado un AP230W, AP330 o AP430CR con una radio de escaneo dedicada para la detección de Evil Twin por aire y acciones de respuesta de ThreatSync.

No puede realizar acciones de respuesta por aire contra puntos de acceso maliciosos que utilicen seguridad WPA3 o WPA2 con Marcos de Administración Protegidos habilitados (802.11w), ni contra puntos de acceso maliciosos que emitan en un canal que no se encuentre en el país actual de funcionamiento del punto de acceso de detección.

Ajustes Recomendados de Endpoint Security

Los ajustes varían para WatchGuard Advanced EPDR, EPDR, EDR, EDR Core y EPP. En esta sección, Endpoint Security se refiere en general a todos los productos. Si no tiene una configuración en la UI de administración de Endpoint Security, su producto no la admite.

Para asegurarse de que Endpoint Security envía todos los datos de telemetría e incidentes necesarios a ThreatSync, confirme que estos ajustes de Endpoint Security estén habilitados:

Ajustes de Seguridad para Estaciones de Trabajo y Servidores
- Protección Avanzada
  - Modo Operativo (Modo Bloqueo)
  - Protección Antiexploit
  - Antivirus
Indicadores de Ataque (IOA)

Para obtener más información sobre los ajustes de Endpoint Security, vaya a Administrar Ajustes.

Configurar los Ajustes del Dispositivo

Cuando habilita ThreatSync para una cuenta, se habilita automáticamente en los dispositivos de endpoint, Fireboxes y puntos de acceso asignados a la cuenta. Estos dispositivos envían datos automáticamente a ThreatSync.

Le recomendamos que habilite ThreatSync en todos los dispositivos de su cuenta. Para asegurarse de que ThreatSync recibe los datos de incidentes y las acciones de cualquier dispositivo nuevo que agregue a su cuenta, en la sección Seleccionar los tipos de dispositivos que habilitan automáticamente ThreatSync en dispositivos nuevos de la página Ajustes de Dispositivo, marque las casillas de selección Fireboxes y Puntos de Acceso.

Para más información, vaya a Para configurar los ajustes de dispositivo de ThreatSync:.

Mejores Prácticas de Configuración de Política de automatización

Para ayudarle a organizar y monitorizar sus políticas de automatización, le recomendamos que empiece con estas prácticas recomendadas.

Personalizar los Nombres de las Políticas de Automatización

Para que sus políticas de automatización sean más fáciles de entender y mantener, proporcione un nombre de la política significativo que especifique el propósito de la política, a qué se aplica y cualquier otra característica única.

Por ejemplo, si desea incluir el tipo de política, el intervalo de riesgo o la acción realizada en el nombre de la política, puede llamar a su política Remediation_6-7_Isolate o Close_1-3.

Políticas de Automatización Predeterminadas

Su cuenta de ThreatSync incluye políticas de automatización predeterminadas con los ajustes recomendados. Puede editar las políticas predeterminadas y configurar políticas de automatización de ThreatSync adicionales según los requisitos de su red.

Las políticas de automatización predeterminadas de ThreatSync están deshabilitadas de forma predeterminada. Para las cuentas nuevas, las políticas de automatización predeterminadas aparecen en la página Políticas de Automatización. Para las cuentas existentes, debe hacer clic en Generar Políticas Predeterminadas en la página Políticas de Automatización para verlas en su lista de políticas de automatización. Le recomendamos que habilite las políticas de automatización predeterminadas para que pueda concentrarse en los incidentes que requieren investigación y remediación manual.

Para más información sobre cómo habilitar o deshabilitar las políticas de automatización, vaya a Habilitar o Deshabilitar una Política de Automatización.

Política de Automatización de Remediación Predeterminada

Para asegurarse de que ThreatSync lo proteja automáticamente de incidentes de alto riesgo, le recomendamos que habilite la política de remediación predeterminada para incidentes con un intervalo de riesgo de 7-10.

Política de Remediación Predeterminada

Rango — 1
Tipo de Política — Remediación
Intervalo de Riesgo — 7-10
Tipo de Dispositivo — Endpoint, Firebox, Punto de Acceso
Acciones — Realizar > Aislar Dispositivo

Esta política aísla automáticamente de la red los dispositivos afectados por incidentes con una puntuación de 7 o superior para evitar la propagación de la amenaza. Esto le permite analizar dispositivos aislados e investigar los detalles de los incidentes. Para más información, vaya a Revisar los Detalles del Incidente.

Política de Automatización de Cierre Predeterminada

Para reducir la cantidad de incidentes de bajo riesgo en la lista de incidentes y poder centrarse en los incidentes de mayor riesgo, le recomendamos que habilite la política de automatización Cierre que se aplica a los incidentes con una puntuación de riesgo de 1.

Política de Cierre Predeterminada

Tipo de Política — Cierre
Intervalo de Riesgo — 1
Tipo de Dispositivo — Endpoint, Firebox, Punto de Acceso
Acciones — Realizar > Cerrar

Esta política cierra automáticamente los incidentes con una puntuación de riesgo de 1. Le recomendamos que revise los incidentes cerrados y decida si son necesarias otras acciones. Para revisar su lista de incidentes cerrados, filtre los incidentes por estado en la página Incidentes. Para más información, vaya a Monitorizar Incidentes de ThreatSync.

Si no tiene tiempo para investigar todos los incidentes de bajo riesgo, considere la posibilidad de modificar su política de cierre para aumentar el intervalo de riesgo a 1-3.

Para obtener más información sobre las políticas de automatización, vaya a Acerca de las Políticas de Automatización de ThreatSync.

Excepciones de Sitios Bloqueados en un Firebox

Si descubre que ThreatSync bloquea direcciones IP críticas, como la dirección IP de un servidor que utiliza su equipo de marketing, le recomendamos que configure una excepción de Sitios Bloqueados para la dirección IP en su Firebox. Cuando agrega una excepción de Sitios Bloqueados para una dirección IP, el Firebox siempre permite el tráfico hacia y desde esa dirección IP, incluso si aparece en la lista de IP bloqueados por ThreatSync a través de una acción manual o por una política de automatización.

Para obtener información sobre cómo crear excepciones de sitios bloqueados para Fireboxes administrados localmente, vaya a Crear Excepciones de Sitios Bloqueados.

Para obtener información sobre cómo puede agregar excepciones para los Fireboxes administrados en la nube, vaya a Agregar Excepciones en WatchGuard Cloud.

Puntos de Acceso de Confianza

Si descubre que ThreatSync bloquea las direcciones MAC de puntos de acceso legítimos en su implementación, por ejemplo, puntos de acceso de prueba de control de calidad de un proveedor externo o puntos de acceso Wi-Fi 5 de WatchGuard administrados por WatchGuard Wi-Fi Cloud o un Firebox, puede confiar en estos dispositivos para evitar futuras notificaciones de incidentes o acciones de respuesta por parte de una política de automatización.

Los puntos de acceso de WatchGuard y los Fireboxes inalámbricos de la misma cuenta de WatchGuard Cloud se identifican automáticamente como puntos de acceso de confianza mediante la función Monitorización del Espacio Aéreo y no aparecerán en la lista de Puntos de Acceso de Confianza.

Para más información, vaya a Configurar Puntos de Acceso de Confianza en ThreatSync.

Reglas de Notificación Recomendadas

Una práctica recomendada es monitorizar los incidentes en la UI de ThreatSync a medida que se generan. Puede ver la página Resumen de Incidentes de ThreatSync para obtener una instantánea de la actividad de incidentes, y puede configurar reglas de notificación en WatchGuard Cloud para generar alertas y enviar notificaciones por correo electrónico para incidentes nuevos, acciones específicas realizadas e incidentes cerrados.

Para facilitar la respuesta cuando surgen amenazas, le recomendamos que establezca una regla de notificación para los incidentes de mayor riesgo.

Recomendación sobre la Regla de Notificación

Tipo de Notificación — Nuevo Incidente
Intervalo de Riesgo — 7-10
Tipo de Incidente — Seleccionar Todos los Tipos de Incidentes
Tipo de Dispositivo — Selecciona Todos los Tipos de Dispositivos
Método de Entrega — Correo Electrónico
Frecuencia — Envíar Todas las Alertas

Esta regla de notificación genera una alerta que aparece en la página Alertas en WatchGuard Cloud y también envía un correo electrónico de notificación a los destinatarios especificados.

Para más información sobre cómo configurar reglas de notificación, vaya a Configurar las Reglas de Notificación de ThreatSync.

Temas Relacionados

Acerca de ThreatSync

Inicio Rápido — Configurar ThreatSync

Acerca de la Generación de Registros y Notificación de Firebox

Comenzar con WatchGuard Endpoint Security

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.