Configuración de indicadores de ataque

Los indicadores de ataque son un tipo de señal que Advanced EPDR genera cuando detecta actividad sospechosa de pertenecer a un ciberataque en curso. Aportan contexto a los incidentes que advierten de una infección inminente o de un ataque que ya ha logrado penetrar en la infraestructura de tu empresa.

Para obtener información adicional sobre los distintos recursos del módulo Identificadores de ataque, consulta las referencias siguientes:

Crear y gestionar configuraciones : información sobre cómo crear, modificar, borrar o asignar configuraciones a los equipos de la red.
La consola de administración : información sobre cómo gestionar las cuentas de usuario y la asignación de permisos.

Configuración de Indicadores de ataque (IOA)

Para crear, modificar, borrar, copiar o asignar las configuraciones de indicadores de ataque, tu rol de usuario debe incluir el permiso Configurar indicadores de ataque (IOA).
Para visualizar las configuraciones de indicadores de ataque, tu rol de usuario debe incluir el permiso Ver configuración de indicadores de ataque (IOA).
Para obtener más información sobre roles y permisos, consulta Descripción de los permisos implementados.

Para crear una configuración de estaciones y servidores:

  • En el menú superior, selecciona Configuración.

  • En el menú lateral, selecciona Indicadores de ataque IOA. Se mostrará el listado de configuraciones creadas.

  • Haz clic en Añadir, se abrirá la ventana Añadir configuración.

  • Escribe el Nombre de la configuración en la caja de texto.

  • Escribe la Descripción de la configuración en la caja de texto.

  • Para añadir destinatarios, consulta Asignar destinatarios a la configuración.

Las configuraciones de Indicadores de ataque (IOA) se pueden asignar a puestos de trabajo o servidores Windows, Linux y macOS.

  • Para detectar los Ataques RDP, haz clic en el botón de alternancia. Para obtener más información sobre los ataques RDP, consulta Protección frente ataques RDP.

  • Para mostrar la Configuración avanzada de RDP, haz clic en el enlace.

  • Para establecer la Respuesta en estaciones ante un ataque de tipo RDP, en la lista desplegable, selecciona:

    • Informar y bloquear ataques RDP: genera una señal y bloquea los ataques RDP.

    • Solo informar: genera una señal.

  • Para establecer la Respuesta en servidores ante un ataque de tipo RDP, en la lista desplegable, selecciona:

    • Informar y bloquear ataques RDP: genera una señal y bloquea los ataques RDP.

    • Solo informar: genera una señal.

  • En la sección IPs de confianza, escribe la lista de IPs de los equipos que Advanced EPDR considera seguros y no bloqueará, aunque generará una señal.

  • Para activar el envío de IOAs avanzados, haz clic en el botón de alternancia.

  • Recomendamos activar siempre el envío de IOAs avanzados, de lo contrario Advanced EPDR no registrará señales de tipo IOA, y no creará algunos incidentes. Utiliza este botón de alternancia de forma temporal solo cuando detectes problemas de rendimiento.

  • Haz clic en Guardar. La configuración se enviará a los equipos asignados y se aplicará de forma inmediata.

Asignar destinatarios a la configuración

  • En la sección Destinatarios, haz clic en el enlace. Si la configuración no ha sido guardada, se mostrará una ventana de advertencia.

  • En la ventana de advertencia, haz clic en Aceptar. La configuración se guardará y se abrirá la ventana Destinatarios.

  • Para agregar grupos de equipos:

    • En el panel Grupos de equipos, haz clic en el icono (1). Se abrirá la ventana Añadir grupo...

    • Selecciona un grupo.

    • Haz clic en Añadir. El grupo se añadirá al panel Grupos de equipos.

  • Para añadir equipos individuales:

    • En el panel Equipos adicionales, haz clic en el icono (2). Se abrirá la ventana Añadir equipos.

    • Selecciona las casillas junto a los equipos que recibirán la configuración.

    • Haz clic en Añadir. Los equipos se añadirán al panel Equipos adicionales.

  • Para eliminar grupos de equipos:

    • En el panel Grupos de equipos, haz clic en el icono (3) junto al grupo que quieres eliminar. Se abrirá un cuadro de dialogo de advertencia.

    • Haz clic en Eliminar. Los grupos se retirarán de la configuración.

  • Para eliminar equipos individuales:

    • En el panel Equipos adicionales, selecciona las casillas junto a los equipos que quieres eliminar.

    • Haz clic en el icono (4). Se abrirá un cuadro de dialogo de advertencia.

    • Haz clic en Eliminar. Los equipos se retirarán de la configuración.