Knowledge base

Volver a la descripción general del soporte

La Detección y respuestas gestionadas de Endpoints ante amenazas (Threatdown Endpoint Detection and Response - EDR), desarrollado por Malwarebytes, ofrece protección continua para tus endpoints contra todo tipo de amenazas; la Detección y respuestas gestionadasManaged Detection and Response lleva esta protección más allá al proporcionar respuestas de alta precisión a las amenazas. Al reducir el tiempo de permanencia de las amenazas críticas y proporcionar un tiempo medio de resolución (Mean-Time-To-Resolution (MTTR)) más rápido, EDR proporciona a las empresas medidas para ahorrar costes, reducir el tiempo de inactividad y aumentar la eficacia general de la detección de amenazas.

Este artículo se aplica a l@s clientes de TeamViewer Endpoint Protection con el complemento/Add-on MDR.

 

Características de la Detección y respuestas gestionadas o Managed Detection and Response

  • El monitoreo de seguridad las 24 horas del día, los 7 días de la semana, los 365 días del año utiliza la tecnología de detección y respuesta de endpoints (EDR) y la experiencia humana para monitorear la actividad de los endpoints en busca de eventos sospechosos.
  • Detección avanzada de amenazas que utiliza herramientas y técnicas sofisticadas como la inteligencia de amenazas y el análisis de comportamiento para identificar y detener incluso las amenazas más novedosas
  • Detección y análisis de amenazas por parte de profesionales de seguridad capacitados para determinar la gravedad y el impacto potencial de cualquier amenaza detectada.
  • Caza de amenazas, en la que los analistas de seguridad buscan activamente amenazas ocultas dentro de la red.
  • Las opciones de corrección flexibles garantizan que el equipo de MDR pueda remediar activamente las amenazas a medida que se descubren o proporcionar una guía altamente procesable para que los equipos de TI la sigan en sus esfuerzos de corrección.

Primeros pasos

TeamViewer confirmará a través de una ventana emergente una vez que el servicio esté activado en tu cuenta. Selecciona el botón Configurar MDR para continuar con la configuración inicial.

Configura el contacto principal, el o los de respaldo y los alternativos en la siguiente pantalla. Selecciona el menú desplegable de contacto principal y selecciona el miembro deseado del perfil de tu empresa. Si no ha sido añadido automáticamente, agrega el número de teléfono principal de este contacto.

Nota: Solo se requiere el contacto principal. Se pueden agregar contactos alternativos y de respaldo si es necesario.

En la sección Autorización de corrección (Remediation authorization) , selecciona si prefieres la corrección administrada por ThreatDown (ThreatDown managed) o Corrección guiada (Guided remediation) para las amenazas encontradas:

 

  • Si se selecciona ThreatDown administrado (ThreatDown managed) , las amenazas se corregirán automáticamente sin reinicios, recreación de imágenes u otras tareas.
  • Si se selecciona Corrección guiada (Guided remediation), se te guiará a través de los pasos para corregir posibles amenazas, incluida la necesidad de otras tareas potenciales, como reinicios.

En la sección final, Autorización de aislamiento (Isolation authorization), elije si autorizas o no que los puntos de conexión se aíslen en tu nombre cuando se requiera una respuesta de seguridad. Esto autoriza tanto a las estaciones de trabajo como a los servidores.

Una vez completado, haz clic en Guardar en la esquina superior derecha de la pantalla. Una notificación emergente indica que la detección y respuesta administradas se han activado correctamente.

Nota: EDR debe estar activado antes de intentar activar Managed Detection and Response. Un mensaje de error aparecerá si intentas activar el complemento MDR antes de activar Endpoint Detection & Response.

Cómo configurar la detección y respuesta gestionadas para optimizar la protección de los endpoints

La detección y respuesta administradas requieren configuraciones específicas de EDR para funcionar correctamente. Esta configuración se encuentra en la configuración de políticas para Endpoint Protection (Endpoint Protection policy settings). Para acceder a esto, vete a Configuración de administrador (Admin settings) y selecciona Políticas en administración de dispositivos (Policies under Device Management). Si ya tienes una política creada, puedes editar esta; de lo contrario, puedes crear una nueva política seleccionando Endpoint Protection en el menú desplegable de políticas. Asegúrate de que los siguientes ajustes estén activos en el sistema operativo adecuado:

  1. Monitoreo de actividad sospechosa: Detecta comportamientos potencialmente maliciosos mediante la monitorización de los procesos, el registro, el sistema de archivos y la actividad de red en el endpoint. Utiliza modelos de aprendizaje automático y análisis en la nube para detectar la ocurrencia de actividad sospechosa.
  2. Monitoreo del sistema operativo del servidor: Requiere que el monitoreo de actividad sospechosa (Suspicious activity monitoring) esté habilitado.
  3. Bloquear endpoint en aislamiento: Detiene temporalmente la propagación de amenazas entre endpoints restringiendo su comunicación o acceso. Un endpoint aislado puede seguir comunicándose con la consola y ejecutar procesos de Nebula.
  4. Reversión de ransomware: Repara los daños causados ​​por ransomware a los endpoints de Windows. Utiliza un proceso de restauración único para revertir el daño causado por las amenazas. Junto con nuestro motor de eliminación de malware, la caché de reversión permite al agente de endpoint restaurar archivos eliminados o cifrados por malware.

5. Monitoreo de actividad sospechosa: Detecta comportamientos potencialmente maliciosos mediante la monitorización de los procesos, el registro, el sistema de archivos y la actividad de red en el endpoint. Utiliza modelos de aprendizaje automático y análisis en la nube para detectar la ocurrencia de actividad sospechosa.

6. Bloqueo del endpoint en aislamiento: Impide temporalmente la propagación de amenazas entre endpoints restringiendo su comunicación o acceso. Un endpoint aislado puede seguir comunicándose con la consola y ejecutando procesos de Nebula.

Cómo acceder al portal MDR

El portal de detección y respuesta administradas (MDR) administra todos los aspectos del servicio. Se puede acceder seleccionando el botón Nebula, que se encuentra en la configuración o en la pestaña de detecciones. Una vez en Nebula, selecciona Servicios Gestionados (Managed Services) para ver todos los casos e incidentes reportados.

Descubre el portal MDR

El portal MDR, desarrollado por ThreatDown, es el panel de control de tu licencia. La pestaña Servicios Gestionados (Managed Services) se encuentra dentro del portal, donde puedes ver todos los informes MDR y tomar las medidas necesarias.

Los Servicios administrados se dividen en dos secciones principales:

Descripción general (Overview)

La pestaña Descripción general proporciona un resumen centralizado y de alto nivel de sus casos de Servicios Gestionados a través de una colección de widgets interactivos. Estos widgets están diseñados para ofrecer información general sobre la actividad de los casos, lo que ayuda a los usuarios a monitorear y evaluar la postura de seguridad de su entorno Nebula de manera eficaz. Al presentar datos concisos y relevantes, la pestaña Descripción general sirve como punto de partida para comprender las tendencias, identificar áreas de preocupación y priorizar las acciones.

Esta pestaña es particularmente útil para comprender rápidamente la actividad maliciosa en tu entorno. Admite el filtrado específico por tiempo, lo que permite a los usuarios limitar el alcance de la información mostrada a un período en particular. Esta funcionalidad facilita el análisis de tendencias o la investigación de incidentes dentro de un período de tiempo elegido.

Los siguientes widgets están disponibles en la pestaña Descripción general, cada uno con un propósito específico:

  1. Casos por etapa (Stage): este widget ofrece una descripción general de la actividad de los casos al categorizarlos según su etapa actual en el ciclo de vida de respuesta a incidentes. Esto ayuda a los usuarios a realizar un seguimiento del progreso de los casos, por ejemplo, si son nuevos, están bajo investigación o se han resuelto.
  2. Casos por prioridad (Priority): este widget muestra la cantidad de casos abiertos agrupados por su nivel de prioridad. Al resaltar la urgencia de cada caso, los usuarios pueden identificar rápidamente los casos de alta prioridad que pueden requerir atención inmediata, lo que garantiza que los problemas críticos se aborden con prontitud.
  3. Principales motivos de cierre de casos (Close case): este widget identifica los motivos más comunes para cerrar casos según lo determinado por los analistas. Resumir estas tendencias proporciona información valiosa sobre los factores recurrentes que impulsan las resoluciones de casos, lo que ayuda a los equipos a optimizar sus estrategias de respuesta y mejorar los resultados futuros.

Casos (Cases)

La pestaña Casos (Cases) de la página Servicios Gestionados (Managed Services) muestra una lista de casos abiertos y sus detalles. La siguiente información está disponible en la pestaña Casos:

Alertas (Alerts): Número de detecciones vinculadas al caso.

Analista asignado (Assigned analyst): Analista asignado al caso.

Nombre del caso (Case name): Detección (DE) o Actividad sospechosa (SA) seguida del nombre del punto de conexión y la ruta de la detección.

Motivo del cierre (Close reason): Motivo por el cual el analista cerró el caso.

Cerrado en (Close at) el momento en que se cerró el caso.

Creado en (Created at): Momento en que se abrió el caso.

Endpoint: Nombre del dispositivo con las alertas.

ID: Número de identificación del caso.

Prioridad (Priority): Urgencia del caso.

Etapa (Stage): Fase actual del caso.

Estado (Status): Caso abierto o cerrado.

Actualizado en (Updated at): Última vez que se actualizó el caso.

Cómo ver los detalles de un caso

Para ver los detalles de cualquier caso de MTH, haz clic en el número de identificación en la columna de identificación. Esto generará la siguiente información en una nueva ventana emergente:

  • Comunicaciones e historial (Communication & History)

La pestaña Comunicaciones e historial dentro del menú desplegable de detalles del caso proporciona un registro completo de la actividad del caso. Esto incluye comunicaciones entre analistas, instrucciones detalladas de solución y un registro de las acciones tomadas durante la investigación.

Para refinar la información que se muestra, puedes usar los íconos para filtrar eventos específicos, como comentarios, actualizaciones de estado u otros cambios clave, lo que garantiza un acceso rápido a los detalles más relevantes.

  • Alertas y artefactos (Alerts & Artifacts)

Un solo caso puede incluir varias alertas, que a menudo representan varias actividades maliciosas interconectadas que ocurren en el mismo punto final. Estas alertas se agrupan para agilizar el análisis y mejorar el contexto. La pestaña Alertas y artefactos te permite revisar las alertas asociadas a un caso y los elementos relacionados. Para una investigación más profunda, el botón Ir a detección (Go to detection) junto a cada alerta brinda acceso directo a la detección específica o la actividad sospechosa vinculada a ese caso.

Cómo enviar una solicitud sobre un caso

Si tienes una pregunta sobre un caso de MDR:

  1. Haz clic en Enviar una solicitud (Submit a request).
  2. Ingresa el número de caso del cuál deseas preguntar.
  3. Selecciona una prioridad
  4. Ingresa una descripción
  5. Haz clic en Enviar (Submit).

Cómo optimizar los análisis de amenazas

Los análisis de los endpoints en busca de posibles amenazas son un aspecto integral de la configuración de seguridad. Recomendamos al menos dos tipos de escaneados:

Selecciona Diariamente (Daily) en el menú desplegable General. En Windows, en el menú desplegable Método (Method) selecciona Escaneo de amenazas (Threat Scan).

 

Cómo garantizar la eficacia de las notificaciones

Es importante configurar todas las notificaciones necesarias para garantizar que tu y tu equipo estén alerta de posibles amenazas. La siguiente información se refiere a las notificaciones específicas para Managed Detection and Response.

Seleccione Semanalmente en el menú desplegable Programación. Establezca el Método en Análisis personalizado y active Examinar en busca de rootkits.

Nota: Las notificaciones se gestionan en la consola Nebula de ThreatDown.

Al crear una nueva notificación, selecciona Actividad de servicios administrados (Managed services activity).  

Se recomienda que se agreguen algunas condiciones con respecto a cuándo se envían las notificaciones. Esto garantiza que los administradores no se sobrecarguen con mensajes que no requieren su atención.

Selecciona cada una de las opciones a continuación para ver los valores disponibles:

es igual a

  • Todo
  • Caso creado
  • Caso actualizado
  • Caso cerrado

En la siguiente sección, selecciona cómo se deben enviar las notificaciones. Además del correo electrónico, puedes seleccionar recibir notificaciones a través de Slack/Microsoft Teams, Webhook o la aplicación ThreatDown Admin.

En el paso final, se puede activar la agregación (aggregation), reduciendo las notificaciones recibidas y permitiendo un mayor enfoque. Esto consolida varias alertas en notificaciones únicas basadas en el intervalo y la opción de agrupación que selecciones, junto con los tipos de actividad, las condiciones y los métodos de entrega elegidos anteriormente.

Selecciona Completar (Complete) en la esquina inferior derecha para guardar la nueva notificación.

es igual a

  • Todo
  • Crítico
  • Alto
  • Medio
  • Bajo

es igual a

  • Verdadero
  • Falso