Aplica A: ThreatSync+ NDR, ThreatSync+ SaaS
ThreatSync+ monitoriza su red en busca de incumplimiento de las políticas de su empresa, ya sean políticas predeterminadas o políticas personalizadas que usted defina.
- Políticas predeterminadas — ThreatSync+ incluye políticas predeterminadas que puede habilitar para detectar tráfico hacia sitios web peligrosos, aplicaciones y países no autorizados, tráfico no autorizado, como sesiones entrantes de Protocolo de Escritorio Remoto (RDP), o tráfico no autorizado entre redes internas, como sus entornos de desarrollo y producción.
- Políticas personalizadas — Puede utilizar más de 70 filtros para crear políticas y zonas personalizadas para monitorizar los flujos de tráfico y los eventos anómalos que detecta ThreatSync+ NDR. Para más información acerca de estos filtros, vaya a Filtros de Actividad de Política.
Las páginas y funciones disponibles varían y dependen del tipo de licencia. En esta documentación, ThreatSync+ se refiere en general a todos los productos. Si no ve una página o función en la UI de ThreatSync+, su producto no la admite.
Alertas de Política
Las alertas de política le notifican los incumplimientos de políticas, vinculan las infracciones a sus activos importantes y resaltan los infractores más frecuentes. A medida que ThreatSync+ ingesta registros y datos de NetFlow de su red, evalúa sus políticas y genera alertas cuando se producen infracciones.
Para obtener información sobre las alertas de política, vaya a Acerca de las Alertas de Política.
Evaluación de Política
ThreatSync+ NDR realiza una evaluación de políticas en grupos de 30 minutos de tráfico y eventos NetFlow incorporados. Cada política evalúa todos los registros de tráfico o eventos entre una zona de origen y una zona de destino en el periodo de 30 minutos y genera una alerta cuando se cumplen las condiciones de la política. Estas condiciones son disparadores de actividad.
Los disparadores de actividad le permiten filtrar datos en función del contenido del registro. Cuando filtra el tráfico NetFlow, las políticas pueden aplicar filtros por puertos, tipos de protocolo, volumen de tráfico y otras propiedades del tráfico. Cuando filtra por eventos, las políticas pueden aplicar filtros por tipos de eventos, puertos y otras propiedades que ThreatSync+ NDR genera cuando se crean los eventos.
Las zonas identifican un conjunto de orígenes y destinos que se utilizan para filtrar el tráfico. Una zona puede ser un grupo de direcciones IP, activos, organizaciones, países, dominios o localidades. Para más información, vaya a Administrar Zonas de ThreatSync+.
Políticas y Zonas Predeterminadas
Las políticas en ThreatSync+ están vinculadas a zonas de red. ThreatSync+ proporciona políticas y zonas predeterminadas para ayudarle a comenzar a monitorizar las amenazas. Estas políticas y zonas predeterminadas ofrecen un conjunto básico de herramientas de monitorización y ejemplos de cómo crear políticas y zonas personalizadas.
Las políticas y zonas predeterminadas y personalizadas son similares en su funcionamiento. Sin embargo, existen diferencias cuando se modifican las zonas o cuando ThreatSync+ NDR actualiza la definición de un objeto de zona predeterminado.
Políticas
La mayoría de las políticas predeterminadas están deshabilitadas de forma predeterminada, pero un subconjunto de políticas con la etiqueta Nivel 1 están habilitadas de forma predeterminada y generan alertas automáticamente. En ThreatSync+ NDR, aproximadamente 30 de las más de 75 políticas predeterminadas disponibles son políticas de Nivel 1. Para más información, vaya a Políticas de Nivel 1 de ThreatSync+ NDR.
En ThreatSync+ SaaS, las nueve políticas disponibles son políticas de Nivel 1. Para más información, vaya a Políticas de Nivel 1 para ThreatSync+ SaaS — Microsoft 365.
Cuando activa una política o realiza cambios en la configuración, se guarda una copia privada. Si elimina esa copia, todos los cambios que haya realizado en la definición de la política se descartarán y la política volverá a la política predeterminada. Si modifica una política predeterminada, las actualizaciones de la definición de la política predeterminada no serán visibles hasta que elimine la versión editada y la política volverá a la definición de política predeterminada.
Zonas
Una zona predeterminada contiene una lista de objetos. Si edita una zona predeterminada, se guarda una copia privada con los cambios. Todas las políticas que utilicen esta zona utilizarán su copia privada. Cuando elimina la copia, los cambios realizados en la definición de la zona se descartarán, la zona volverá a la definición predeterminada y cualquier política que utilizase su copia ahora utilizará la zona predeterminada.
Si modifica una zona predeterminada, las actualizaciones que WatchGuard realice en la definición de la zona predeterminada no se aplicarán a su cuenta hasta que elimine la copia editada y la zona vuelva a la definición predeterminada. Si no realiza ediciones en una zona predeterminada, las actualizaciones que cambien la definición de la zona se aplicarán automáticamente a su cuenta.
Ejemplo
La zona predeterminada Sitios para Compartir Archivos contiene una lista de servicios para compartir archivos en Internet. WatchGuard mantiene esta lista de sitios y la actualiza periódicamente.
- Si no edita esta zona predeterminada, cualquier sitio nuevo que WatchGuard agregue a la definición de la zona se incluirá automáticamente en las evaluaciones de incumplimiento de política.
- Si edita esta zona predeterminada, se creará una copia privada y la lista de sitios de uso compartido de archivos de su copia no incluirá automáticamente las actualizaciones realizadas por WatchGuard. Para incluir nuevos sitios agregados por WatchGuard, debe eliminar su copia privada de la zona, volver a la zona predeterminada y, a continuación, volver a editarla para que refleje los cambios que realizó anteriormente.
Políticas y Zonas Personalizadas
En ThreatSync+, puede crear políticas y zonas personalizadas que sean exclusivas de su organización.
Las zonas pueden ser inclusivas o exclusivas. Las zonas inclusivas pueden incluir listas estáticas de direcciones IP, activos, organizaciones, países, dominios o localidades. Las zonas exclusivas incluyen todos los dispositivos de su red, excepto aquellos que se listan explícitamente en la definición de la zona. Después de definir una zona, puede utilizarla en numerosas políticas.
Las zonas que constan de países, organizaciones, dominios y localidades deben coincidir con los nombres que se utilizan en las listas de metadatos que utiliza ThreatSync+. WatchGuard actualiza estas listas periódicamente a partir de servicios de terceros. Cuando utilice estas zonas en sus zonas personalizadas, asegúrese de que los nombres coincidan con los del tráfico NetFlow y los detalles del nodo en ThreatSync+ NDR.
Para definir una política personalizada, configure una zona de origen, una zona de destino y un filtro de actividad. El filtro de actividad le permite evaluar el tráfico o los registros de eventos entre las zonas seleccionadas y activar una alerta cuando la actividad coincide con dicho filtro de actividad.
Cuando filtra el tráfico, los filtros de actividad pueden coincidir con:
- Los puertos de los flujos de tráfico.
- La clase de conversación — una combinación del tipo de protocolo (TCP, UDP o ICMP) y el tipo de conversación (por ejemplo, bidireccional, escaneo sin respuesta o malformado).
- El volumen de datos en los flujos de tráfico.
Cuando filtra por eventos, los filtros de actividad pueden coincidir con:
- El tipo de anomalía que representa el evento.
- Los puertos de los registros de eventos.
- La clase de conversación — una combinación del tipo de protocolo (TCP, UDP o ICMP) y el tipo de conversación (por ejemplo, bidireccional, escaneo sin respuesta o malformado).
Configurar Políticas de ThreatSync+