Investigar el Tráfico de ThreatSync+

Aplica A: ThreatSync+ NDR, ThreatSync+ SaaS

La página Tráfico proporciona una potente interfaz de búsqueda y filtrado que le permite realizar una investigación más profunda de la actividad en su red. Puede abrir la página Tráfico desde varias otras ubicaciones en la UI de ThreatSync+. Cuando navega a la página Tráfico desde otra página, se completa automáticamente con filtros para mostrarle detalles sobre la alerta Smart Alert, el comportamiento, la alerta de política, el activo o el nodo que ha visto anteriormente.

Screenshot of the Traffic page in ThreatSync+ NDR

La página Tráfico tiene los siguientes componentes:

Controles de filtro de actividad
Gráfico de actividad
Registros detallados de actividad
Panel de Actor Conocido

Filtros de Actividad

Los filtros de Actividad le permiten seleccionar el tipo de actividad que desea mostrar. Esto le permite limitar los resultados en función de los filtros de datos y tráfico que seleccione.

Screenshot of the Activity Filters on the Traffic page

Puede utilizar filtros de actividad específicos para filtrar la información que ve en la página.

Para más información sobre los filtros de actividad, vaya a estas secciones:

Origen de Datos
Filtros de Datos
Conjuntos de Tráfico
- Ver Todo el Tráfico Entrante y Saliente de Una Dirección IP — Ejemplo de Configuración

Origen de Datos

Si sus colectores reciben registros de tráfico o feeds de NetFlow de Fireboxes o agentes de Colección de ThreatSync+ NDR, están disponibles estos orígenes de datos:

Recuento de flujos de NetFlow
Recuentos de paquetes de NetFlow
Recuentos de bytes de NetFlow
Eventos anómalos generados por ThreatSync+ NDR

Filtros de Datos

Los filtros de datos disponibles dependen del tipo de origen de datos seleccionado. En esta tabla se explican los filtros disponibles con cada origen de datos.

Filtro de Datos	Descripción	Orígenes de Datos de NetFlow	Orígenes de Datos de Eventos
Número de Puerto	Número de puerto de la aplicación. Normalmente es el puerto de destino que utiliza el solicitante cuando se comunica con el respondedor.	Sí, para TCP y UDP	Sí
Conversaciones	Calculado por ThreatSync+ NDR en función del tipo de protocolo, los indicadores y la hora de los registros de NetFlow, que indican la naturaleza de la conversación. Los valores indican si el protocolo es ICMP, TCP o UDP, y si los flujos forman parte de una conversación bidireccional o no tienen respuesta.	Sí	Sí
Tipo de Anomalía	El tipo de evento anómalo generado por el motor de análisis de ThreatSync+ NDR.	No	Sí

Puede configurar cada tipo de filtro para:

Incluir todos los registros de actividad de uno o varios valores seleccionados.
Incluir todos los registros de actividad excepto los valores seleccionados.
Para el filtro de datos Tipo de Anomalía, puede editar la escala de Gravedad de Alertas cuando se selecciona uno o varios de estos tipos de anomalías:
- Gran Volumen Desde el Activo
- Gran Volumen Hacia el Activo
- Gran Recuento de Paquetes Desde el Activo
- Gran Recuento de Paquetes Hacia el Activo
- Datos Enviados A Una Gran Cantidad de Hosts
- Datos Recibidos De Una Gran Cantidad de Hosts
- Datos Enviados A Una Gran Cantidad de Ciudades
- Datos Recibidos De Una Gran Cantidad de Ciudades
- Duración Inusual de la Conexión Saliente
- Duración Inusual de la Conexión Entrante
- Alta Proporción de Bytes Salientes por Bytes Entrantes
- Alta Proporción de Bytes Entrantes por Bytes Salientes
- Alta Proporción de Paquetes Salientes por Paquetes Entrantes
- Alta Proporción de Paquetes Entrantes por Paquetes Salientes
- Alta Proporción de Bytes Entrantes
- Alta Proporción de Bytes Salientes
- Alta Proporción de Paquetes Entrantes
- Alta Proporción de Paquetes Salientes
- Alto Recuento de Flujos Entrantes
- Alto Recuento de Flujos Salientes
- Proporción Inusual de Bytes Entrantes por Flujo
- Proporción Inusual de Bytes Salientes por Flujo
- Alta Proporción de Bytes Entrantes a Paquetes Entrantes
- Alta Proporción de Bytes Salientes a Paquetes Salientes
- Túnel DNS de Alta Capacidad de Procesamiento Sospechoso
- Túnel DNS de Baja Capacidad de Procesamiento Sospechoso
- Duración Total Inusual de la Conexión Saliente
- Duración Total Inusual de la Conexión Entrante
- Número Inusual de Eventos Anómalos

Para más información, vaya a Editar la Escala de Gravedad de Alertas de Política.

También puede utilizar filtros de tiempo para especificar el intervalo de tiempo para el que se mostrará la actividad.

Conjuntos de Tráfico

Puede utilizar conjuntos de tráfico para filtrar las direcciones de origen y destino de los registros de actividad. Los registros de NetFlow y de eventos tienen cada uno un conjunto de identificadores de origen y de destino. Los campos de direcciones IP de origen y destino provienen directamente del tráfico de datos monitorizado.

Los campos adicionales del registro de actividad se completan con metadatos recopilados por ThreatSync+ en su entorno o en servicios de nomenclatura de Internet de confianza. Todas las direcciones IP de cada flujo de datos se completan con estos campos:

Nombre del País
Nombre de la Localidad
Nombre de Dominio
Nombre de la Organización
Nombre del Activo
Zona de Red Interna o Externa

Los conjuntos de tráfico representan la actividad de solicitud y respuesta entre un origen y un destino. Los orígenes y destinos se definen como direcciones IP individuales o como grupos de direcciones IP que coinciden con un nombre de país, nombre de localidad, nombre de dominio, nombre de organización, nombre de activo o zona de red especificados.

Un conjunto de tráfico incluye:

La actividad de solicitud desde el origen hasta el destino.
La actividad de respuesta desde el destino hasta el origen.

Agregar un Filtro de Conjunto de Tráfico

Los conjuntos de tráfico le permiten agrupar tráfico similar en función del origen, el destino y la dirección del tráfico, lo que facilita la investigación de actividades potencialmente inusuales.

Para agregar un filtro de conjunto de tráfico:

En la página Tráfico, haga clic en Agregar Filtro de Conjunto de Tráfico.
Se abre el cuadro de diálogo Agregar Filtro de Conjunto de Tráfico para Investigar.

Screenshot of the Add a Traffic Set Filter to Investigate dialog box

Ingrese un título para el filtro de conjunto de tráfico.
En la sección Solicitantes, seleccione un Tipo de Solicitante. Seleccione un subtipo asociado.
En la sección Respondedores, seleccione un Tipo de Respondedor. Seleccione un subtipo asociado.
(Opcional) Para agregar otro campo del mismo tipo y subtipo, haga clic en .
Para seleccionar la dirección del tráfico entre los solicitantes y los respondedores, haga clic en la flecha. La dirección de tráfico predeterminada es Toda la actividad entre los Solicitantes y los Respondedores.
Haga clic en Guardar.

Ver Todo el Tráfico Entrante y Saliente de Una Dirección IP — Ejemplo de Configuración

Para ver todo el tráfico hacia y desde una dirección IP, cree dos conjuntos de tráfico.

Para el primer conjunto de tráfico:

En la sección Solicitantes, para el Tipo de Solicitante, seleccione IP.
En el cuadro de texto Dirección IP, ingrese una dirección IP.
En la sección Respondedores, en la lista desplegable Tipo de Respondedores, seleccione Red.
En la lista desplegable Seleccionar Tipo de Red, seleccione Interna y Externa.

Screenshot of a traffic set example

Para el segundo conjunto de tráfico:

En la sección Solicitantes, en la lista desplegable Tipo de Solicitante, seleccione Red.
En la lista desplegable Seleccionar Tipo de Red, seleccione Interna y Externa.
En la sección Respondedores, en la lista desplegable Tipo de Respondedor, seleccione IP.
En el campo Dirección IP, ingrese una dirección IP.

Screenshot of the second traffic filter example configuration

Gráfico de Actividad

El Gráfico de Actividad muestra un gráfico de varias líneas con una serie para cada conjunto de tráfico definido, filtrado por los ajustes seleccionados en los filtros de actividad.

Para ocultar o mostrar cada serie, haga clic en el nombre en la leyenda del gráfico.

Screenshot of the Traffic Graph on the Traffic page

Registros de Actividad

La sección Registros de Actividad muestra el flujo de conversaciones individuales o los registros de eventos seleccionados. Puede ordenar la tabla por columna, o en orden ascendente o descendente.

Para filtrar los registros de actividad, escriba texto en el cuadro de texto Filtrar Tráfico. Esto no filtra el gráfico.

Screenshot of the Activity Records section of the Traffic page in ThreatSync+ NDR

Para ver más detalles sobre una actividad específica, haga clic en El icono de Lupa junto a la actividad.

Panel Actor Conocido

Para expandir el panel Actor Conocido, en la sección superior derecha de la página Tráfico, haga clic en El icono Expandir . El panel Actor Conocido muestra información sobre las direcciones IP, los dispositivos y los puertos incluidos en los conjuntos de tráfico y los filtros. Puede expandir cada elemento del panel para mostrar más información y enlaces a más detalles sobre el elemento.

Screenshot of the Known Actor pane on the Traffic page

Si filtra por puerto en la sección Filtros de Actividad, puede ver los puertos en el panel Actor Conocido. En la sección Puertos, expanda un elemento para ver los detalles sobre el puerto.

Screenshot of the Ports section on the Known Actor pane

Haga clic en Buscar detalles del puerto para ir a un sitio externo con más información sobre el puerto.

Temas Relacionados

Monitorizar ThreatSync+

Acerca de la Página Resumen de ThreatSync+

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.