Acerca de ThreatSync+ NDR

Aplica A: ThreatSync+ NDR

ThreatSync+ es una solución de detección y respuesta a amenazas centrada en la red y basada en la nube que ayuda a las organizaciones a identificar, detectar y responder a ciberataques basados ​​en la red a través de un enfoque avanzado y en capas. ThreatSync+ utiliza la inteligencia artificial (IA) avanzada y capacidades de aprendizaje automático para ofrecer una defensa cibernética de clase empresarial en redes híbridas.

A lo largo de esta documentación, ThreatSync+ se refiere en general a todos los productos de ThreatSync+. Cuando una característica es específica de un producto, consulte la declaración Aplica A en la parte superior del tema de Ayuda para obtener información sobre para qué productos es relevante el tema.

ThreatSync+ NDR monitoriza y analiza continuamente los flujos de datos y proporciona:

  • Detección y respuesta para sus redes físicas y privadas.
  • Análisis de red tanto del tráfico norte-sur (tráfico que ingresa o sale de su red) como del tráfico este-oeste (tráfico dentro de su red).
  • Una solución abierta para redes de múltiples proveedores, incluidos WatchGuard Fireboxes, conmutadores de terceros y firewalls de terceros.
  • Resúmenes Ejecutivos e Informes de Objetivo de Defensa de Prevención de Ransomware.
  • Una licencia de Compliance Reporting opcional agrega la generación de informes de cumplimiento continuos para redes cibernéticas.

ThreatSync+ NDR se implementa en múltiples ubicaciones y se integra rápidamente con su entorno existente. La automatización elimina la necesidad de cazadores de amenazas y analistas forenses.

ThreatSync+ monitoriza:

  • Amenazas de autenticación, como ataques a contraseñas y credenciales.
  • Riesgos de red y nube, incluidos fallos en las reglas de firewall y puertos no seguros.
  • Ciberataques, incluidos ransomware y ataques a la cadena de suministro.
  • Amenazas a archivos y datos, como el movimiento de archivos confidenciales a nubes públicas o recursos compartidos de archivos abiertos.

ThreatSync+ correlaciona estos eventos y proporciona inteligencia procesable en forma de una puntuación de amenaza de red que le ayuda a priorizar las acciones de remediación. Para más información, vaya a Puntuación de Amenaza de Red.

Para obtener más información acerca de ThreatSync+ NDR, vaya a estas secciones:

Licencias

Para utilizar ThreatSync+ NDR, debe adquirir y activar una licencia de ThreatSync+ NDR. ThreatSync+ NDR tiene licencia para cada usuario. ThreatSync+ NDR monitorizará dispositivos de red activos hasta el doble del número de usuarios en la licencia. Por ejemplo, si su licencia es para 250 usuarios, ThreatSync+ NDR monitoriza el tráfico de red de hasta 500 dispositivos de red activos (por ejemplo, estaciones de trabajo, teléfonos celulares, teléfonos IP, servidores, cámaras u otros dispositivos IoT). Para ver un gráfico del número de dispositivos internos monitorizados a lo largo del tiempo, puede revisar el panel de control de monitorización de ThreatSync+ NDR (Monitorizar > Resumen de Red > Total de Dispositivos > Dispositivos a lo Largo del Tiempo).

Para obtener más información acerca de las licencias, vaya a Acerca de las Licencias de ThreatSync+ NDR.

Para más información sobre las licencias y la aplicación de ThreatSync+ NDR, consulte este artículo de la Base de Consulta: Preguntas Frecuentes sobre las Licencias de ThreatSync+ NDR. (externo)

(Opcional) Licencia de WatchGuard Compliance Reporting

Para utilizar Compliance Reporting en WatchGuard Cloud, debe activar una licencia de ThreatSync+ NDR y una licencia de Compliance Reporting. Al igual que ThreatSync+ NDR, Compliance Reporting se licencia por usuario. Proporciona acceso a los informes en WatchGuard Cloud.

Para asegurarse de que Compliance Reporting refleje los datos de dispositivos de todos los usuarios de ThreatSync+ NDR, recomendamos que el número de usuarios en su licencia de WatchGuard Compliance Reporting de WatchGuard coincida con el número de usuarios en la licencia de ThreatSync+ NDR. Por ejemplo, si compra una licencia de ThreatSync+ NDR para 250 usuarios, debe comprar una licencia de WatchGuard Compliance Reporting para 250 usuarios. Para más información, vaya a Acerca de las Licencias de WatchGuard Compliance Reporting.

Recopilación de Datos

Para obtener visibilidad de todas las áreas de su red, debe monitorizar el tráfico IP en todos los dispositivos de su red. Los Fireboxes administrados en la nube y administrados localmente con generación de informes en la nube que ejecutan Fireware v12.10.3 y superior envían automáticamente los datos de tráfico de red a WatchGuard Cloud y ThreatSync+. (Para los Fireboxes administrados localmente con generación de informes en la nube, debe habilitar el Firebox para que envíe mensajes de registro para los informes en cada política de filtrado de paquetes). Este feed de datos proporciona la información necesaria para que ThreatSync+ NDR identifique y detecte posibles amenazas y actividades sospechosas, como movimientos laterales, túneles DNS, escaneos rápidos y lentos, y exfiltración de datos.

Para los Fireboxes que ejecutan versiones anteriores de Fireware o firewalls o conmutadores de terceros, se utilizan dispositivos de colección locales denominados colectores para monitorizar el tráfico de red. Los colectores toman feeds de datos como NetFlow y sFlow de conmutadores y firewalls de terceros, y los reenvían a través de una conexión segura a WatchGuard Cloud. Estos feeds de datos incluyen información sobre el tráfico que fluye a través del conmutador o firewall hacia los dispositivos de red. Recomendamos que configure sus conmutadores y firewalls para que retransmitan los datos de tráfico de red a través de estos colectores para que se reenvíen a WatchGuard Cloud. Para obtener información sobre cómo instalar y configurar colectores en computadoras y servidores con Linux, vaya a Configurar Colectores para ThreatSync+ NDR (Computadoras con Linux). Para obtener información sobre cómo instalar y configurar colectores en computadoras y servidores con Windows, vaya a Configurar Colectores para ThreatSync+ NDR (Computadoras con Windows).

Además del Firebox, también puede instalar colectores basados en agentes en conmutadores y firewalls de terceros para retransmitir registros NetFlow, sFlow, VPN y Active Directory o DHCP a WatchGuard Cloud a través de un túnel IPSec seguro.

Informes

Los informes son una parte fundamental de la monitorización de su organización en busca de amenazas. ThreatSync+ proporciona informes que le permiten realizar un seguimiento de la salud de su red.

ThreatSync+ NDR incluye estos informes predeterminados:

  • Informe de Resumen Ejecutivo
  • Informe Objetivo de Defensa de Prevención de Ransomware

Para agregar más informes, además de la capacidad de generar informes personalizados, le recomendamos que agregue una licencia de WatchGuard Compliance Reporting. WatchGuard Compliance Reporting proporciona informes adicionales sobre objetivos de defensa para normativas y estándares de ciberseguridad, así como la capacidad de generar informes personalizados para objetivos de defensa específicos.

La licencia de WatchGuard Compliance Reporting incluye estos informes:

Certificación de Aspectos Cibernéticos Esenciales

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por la certificación de Aspectos Cibernéticos Esenciales del Centro Nacional de Seguridad Cibernética. Esta certificación lo ayuda a proteger su organización contra los ataques cibernéticos más frecuentes.

FFIEC

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por las pautas del Consejo Federal para la Supervisión de Instituciones Financieras (FFIEC). Estas pautas ayudan a las instituciones financieras a operar de manera segura, mitigar riesgos, cumplir con las regulaciones aplicables, seguir los requisitos legales y administrar adecuadamente los riesgos de ciberseguridad.

ISO 27001 – Seguridad de la Información, Ciberseguridad y Protección de la Privacidad

Existen dos versiones del informe de Objetivos de Defensa de la norma ISO 27001 — una para la versión de 2013 de la norma y otra para la versión de 2022.

Estos informes le dan una descripción general de la defensa de su red y muestran si está en cumplimiento con los objetivos y los controles descritos por la norma ISO 27001. Esta norma proporciona a las empresas pautas para establecer, implementar, mantener y mejorar los sistemas de administración de seguridad de la información.

Programa de Seguridad de Contenidos de la Motion Picture Association

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por el Programa de Seguridad de Contenidos de la Motion Picture Association (MPA). Este programa es un conjunto de prácticas recomendadas de seguridad de contenidos voluntario para proteger la propiedad intelectual contra el robo, la piratería y la manipulación.

NIST 800-53 – Controles de Seguridad y Privacidad para Sistemas de Información y Organizaciones

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por la pauta 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). La pauta 800-53 del NIST proporciona un catálogo de pautas que respaldan el desarrollo de sistemas de información federales seguros y resilientes. Estas pautas incluyen medidas operativas, técnicas y de administración para mantener la integridad, la confidencialidad y la seguridad de los sistemas de información federales.

NIST 800-171 – Protección de Información No Clasificada Controlada en Sistemas y Organizaciones No Federales

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por la pauta SP 800-171 del Instituto Nacional de Estándares y Tecnología (NIST). La pauta SP 800-171 del NIST establece normas para proteger la información confidencial en sistemas de TI y redes de contratistas federales.

NIST CSF – Marco de Ciberseguridad

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por el marco de ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST). El CSF proporciona orientación para la industria, los organismos gubernamentales y otras organizaciones para administrar los riesgos de ciberseguridad. Incluye una taxonomía de resultados de ciberseguridad de alto nivel que las organizaciones pueden usar para comprender, evaluar, priorizar y comunicar mejor sus esfuerzos en ciberseguridad.

Directiva de Seguridad de Redes e Información (NIS2) – Marco Legal

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por los requisitos de seguridad de la Directiva de Seguridad de Redes e Información (NIS2). La directiva NIS2 proporciona a la Unión Europea orientación legislativa para la continuidad del negocio, la seguridad en la cadena de suministro, la seguridad en la adquisición de sistemas de redes e información, y la administración de vulnerabilidades. El cumplimiento con la directiva NIS2 ayuda a las organizaciones a mejorar sus capacidades de ciberseguridad y las hace más resilientes contra las amenazas cibernéticas.

Reglamento sobre Resiliencia Operativa Digital (DORA) – Marco de Administración de Riesgos

Este informe le da una descripción general de la defensa de su red y muestra si está en cumplimiento con los objetivos y los controles descritos por el Reglamento sobre Resiliencia Operativa Digital (DORA). El reglamento DORA es un reglamento integral de la Unión Europea para el sector financiero que establece normativas para bancos, empresas aseguradoras, instituciones de inversión y otros proveedores de servicios financieros. Este reglamento asegura la resiliencia operativa frente a riesgos y amenazas digitales en el sector financiero.

Para más información, vaya a Acerca de WatchGuard Compliance Reporting.

Informe de Resumen Ejecutivo

El Informe de Resumen Ejecutivo proporciona una descripción general de alto nivel de las amenazas y vulnerabilidades que detecta ThreatSync+ NDR. El informe incluye una puntuación de amenaza de red global y muestra los cambios en la tendencia de la puntuación de amenaza a lo largo del tiempo. Las puntuaciones más bajas indican que es posible que su red no esté totalmente protegida.

Las métricas incluidas reflejan el rango de capacidades de detección y respuesta que proporciona ThreatSync+ NDR. La puntuación de amenaza de red global se calcula a partir de métricas de tres áreas de protección: Detección de Amenazas, Visibilidad de la Red y Garantía de Políticas.

Siga las recomendaciones del informe para mejorar su puntuación de amenaza y proteger su red.

Para más información, vaya a Informe de Resumen Ejecutivo de ThreatSync+ NDR.

Informe Objetivo de Defensa de Prevención de Ransomware

El Informe Objetivo de Defensa de Prevención de Ransomware monitoriza su red en busca de vulnerabilidades que puedan hacerla más susceptible al ransomware. Este informe presenta un resumen de los controles que monitoriza ThreatSync+ NDR para ayudarle a prevenir la propagación del ransomware. Cada control incluido en el informe se basa en una política de ThreatSync+ NDR.

El Informe Objetivo de Defensa de Prevención de Ransomware le proporciona una descripción general de la defensa de la red y muestra si cumple con las metas y los controles durante un período de tiempo específico. Este informe, además de monitorizar continuamente las alertas de política y cerrar las Smart Alerts, puede demostrar el cumplimiento normativo a efectos de auditorías o seguros cibernéticos.

Para más información, vaya a Informe Objetivo de Defensa de Prevención de Ransomware.

UI de ThreatSync+

Para configurar y monitorizar ThreatSync+, utilice la UI de ThreatSync+ en WatchGuard Cloud. Para conectarse a WatchGuard Cloud, vaya a cloud.watchguard.com e inicie sesión con las credenciales de su cuenta.

Monitorizar ThreatSync+

ThreatSync+ NDR recopila automáticamente datos de sus Fireboxes en WatchGuard Cloud e incluye políticas predeterminadas y Smart Alerts para ayudarle a monitorizar posibles problemas en su red.

Las páginas y funciones disponibles varían y dependen del tipo de licencia. En esta documentación, ThreatSync+ se refiere en general a todos los productos. Si no ve una página o función en la UI de ThreatSync+, su producto no la admite.

Para monitorizar ThreatSync+, seleccione Monitorizar > ThreatSync+.

Screenshot of the Summary page on the Monitor menu

Utilice estas páginas para monitorizar ThreatSync+:

  • Resumen de la Red — Proporciona una descripción general de las tendencias de su red e incluye enlaces a información detallada sobre Smart Alerts, alertas de políticas, riesgos de dispositivos, usuarios y tráfico de red. Para más información, vaya a Acerca de la Página Resumen de ThreatSync+.
  • Smart Alerts — Muestra las Smart Alerts abiertas que indican que puede haber un ataque en progreso en su red y proporciona orientación para ayudarle a remediar la amenaza. Para más información, vaya a Acerca de las Smart Alerts.
  • Alertas de Política — Muestra alertas de incumplimientos de políticas en su red. Para más información, vaya a Acerca de las Alertas de Política.

  • Usuarios — Muestra detalles sobre la actividad de usuarios y la detección de amenazas en Microsoft 365. Esta página está disponible con una licencia de ThreatSync+ SaaS. Para más información, vaya a Acerca de las Licencias de ThreatSync+ SaaS y Usuarios de ThreatSync+.

  • Descubrir — Muestra las subredes y los servidores y dispositivos de red importantes que ThreatSync+ identifica automáticamente. Para más información, vaya a Descubrimiento de Activo de ThreatSync+ NDR.
  • Registros de Auditoría de ThreatSync+ — Muestra detalles de cualquier actividad de configuración realizada para las políticas y zonas de ThreatSync+ en su red, muestra la dirección IP y el historial de remediación de usuario, y muestra los registros de los colectores SaaS y los controles de Smart Alerts. Para más información, vaya a Registros de Auditoría de ThreatSync+.
  • Buscar Registros Sin Procesar — Muestra detalles sobre los registros de acceso de usuarios y documentos de Microsoft 365. Puede utilizar la información de esta página para buscar, ordenar y filtrar registros sin procesar de Microsoft 365. Para más información, vaya a Buscar Registros Sin Procesar en ThreatSync+ SaaS.
  • Todas las Direcciones IP — Muestra detalles sobre direcciones IP internas y externas. Puede utilizar la información de esta página para ver información detallada sobre la actividad de las direcciones IP, la actividad de los dispositivos, ver las Smart Alerts y las alertas de política asociadas, y puede realizar acciones de bloqueo y desbloqueo manual en direcciones IP externas específicas. Para más información, vaya a Todas las Direcciones IP.

Configurar ThreatSync+

Puede configurar ThreatSync+ específicamente para su organización y red.

Para configurar ThreatSync+, seleccione Configurar > ThreatSync+.

Screenshot of the Summary page on the Configure menu in WatchGuard Cloud.

Puede utilizar estas páginas para configurar ThreatSync+:

Temas Relacionados

Inicio Rápido — Configurar ThreatSync+ NDR

Configurar ThreatSync+

Monitorizar ThreatSync+

Prácticas Recomendadas de ThreatSync+ NDR

Acerca de la Integración de ThreatSync+ SaaS — Microsoft 365