LaDetección y respuestas gestionadas de Endpoints ante amenazas (Threatdown Endpoint Detection and Response - EDR), desarrollado por Malwarebytes, ofrece protección continua para tus endpoints contra todo tipo de amenazas; la Detección y respuestas gestionadas o Managed Detection and Response lleva esta protección más allá al proporcionar respuestas de alta precisión a las amenazas. Al reducir el tiempo de permanencia de las amenazas críticas y proporcionar un tiempo medio de resolución (Mean-Time-To-Resolution (MTTR)) más rápido, EDR proporciona a las empresas medidas para ahorrar costes, reducir el tiempo de inactividad y aumentar la eficacia general de la detección de amenazas.
Este artículo se aplica a l@s clientes de TeamViewer Endpoint Protection con el complemento/Add-on MDR.
Características de la Detección y respuestas gestionadas o Managed Detection and Response
- El monitoreo de seguridad las 24 horas del día, los 7 días de la semana, los 365 días del año utiliza la tecnología de detección y respuesta de endpoints (EDR) y la experiencia humana para monitorear la actividad de los endpoints en busca de eventos sospechosos.
- Detección avanzada de amenazas que utiliza herramientas y técnicas sofisticadas como la inteligencia de amenazas y el análisis de comportamiento para identificar y detener incluso las amenazas más novedosas
- Detección y análisis de amenazas por parte de profesionales de seguridad capacitados para determinar la gravedad y el impacto potencial de cualquier amenaza detectada.
- Caza de amenazas, en la que los analistas de seguridad buscan activamente amenazas ocultas dentro de la red.
- Las opciones de corrección flexibles garantizan que el equipo de MDR pueda remediar activamente las amenazas a medida que se descubren o proporcionar una guía altamente procesable para que los equipos de TI la sigan en sus esfuerzos de corrección.
Primeros pasos
TeamViewer confirmará a través de una ventana emergente una vez que el servicio esté activado en tu cuenta. Selecciona el botón Configurar MDR para continuar con la configuración inicial.
Configura el contacto principal, el o los de respaldo y los alternativos en la siguiente pantalla. Selecciona el menú desplegable de contacto principal y selecciona el miembro deseado del perfil de tu empresa. Si no ha sido añadido automáticamente, agrega el número de teléfono principal de este contacto.
En la sección Autorización de corrección (Remediation authorization) , selecciona si prefieres la corrección administrada por ThreatDown (ThreatDown managed) o Corrección guiada (Guided remediation) para las amenazas encontradas:
- Si se selecciona ThreatDown administrado (ThreatDown managed) , las amenazas se corregirán automáticamente sin reinicios, recreación de imágenes u otras tareas.
- Si se selecciona Corrección guiada (Guided remediation), se te guiará a través de los pasos para corregir posibles amenazas, incluida la necesidad de otras tareas potenciales, como reinicios.
En la sección final, Autorización de aislamiento (Isolation authorization), elije si autorizas o no que los puntos de conexión se aíslen en tu nombre cuando se requiera una respuesta de seguridad. Esto autoriza tanto a las estaciones de trabajo como a los servidores.
Una vez completado, haz clic en Guardar en la esquina superior derecha de la pantalla. Una notificación emergente indica que la detección y respuesta administradas se han activado correctamente.
Cómo acceder al portal MDR
El portal de detección y respuesta administradas (MDR) administra todos los aspectos del servicio. Se puede acceder seleccionando el botón Nebula, que se encuentra en la configuración o en la pestaña de detecciones. Una vez en Nebula, selecciona Servicios Gestionados (Managed Services) para ver todos los casos e incidentes reportados.
Descubre el portal MDR
El portal MDR, desarrollado por ThreatDown, es el panel de control de tu licencia. La pestaña Servicios Gestionados (Managed Services) se encuentra dentro del portal, donde puedes ver todos los informes MDR y tomar las medidas necesarias.
Los Servicios administrados se dividen en dos secciones principales:
Descripción general (Overview)
La pestaña Descripción general proporciona un resumen centralizado y de alto nivel de sus casos de Servicios Gestionados a través de una colección de widgets interactivos. Estos widgets están diseñados para ofrecer información general sobre la actividad de los casos, lo que ayuda a los usuarios a monitorear y evaluar la postura de seguridad de su entorno Nebula de manera eficaz. Al presentar datos concisos y relevantes, la pestaña Descripción general sirve como punto de partida para comprender las tendencias, identificar áreas de preocupación y priorizar las acciones.
Esta pestaña es particularmente útil para comprender rápidamente la actividad maliciosa en tu entorno. Admite el filtrado específico por tiempo, lo que permite a los usuarios limitar el alcance de la información mostrada a un período en particular. Esta funcionalidad facilita el análisis de tendencias o la investigación de incidentes dentro de un período de tiempo elegido.
Los siguientes widgets están disponibles en la pestaña Descripción general, cada uno con un propósito específico:
- Casos por etapa (Stage): este widget ofrece una descripción general de la actividad de los casos al categorizarlos según su etapa actual en el ciclo de vida de respuesta a incidentes. Esto ayuda a los usuarios a realizar un seguimiento del progreso de los casos, por ejemplo, si son nuevos, están bajo investigación o se han resuelto.
- Casos por prioridad (Priority): este widget muestra la cantidad de casos abiertos agrupados por su nivel de prioridad. Al resaltar la urgencia de cada caso, los usuarios pueden identificar rápidamente los casos de alta prioridad que pueden requerir atención inmediata, lo que garantiza que los problemas críticos se aborden con prontitud.
- Principales motivos de cierre de casos (Close case): este widget identifica los motivos más comunes para cerrar casos según lo determinado por los analistas. Resumir estas tendencias proporciona información valiosa sobre los factores recurrentes que impulsan las resoluciones de casos, lo que ayuda a los equipos a optimizar sus estrategias de respuesta y mejorar los resultados futuros.
Casos (Cases)
La pestaña Casos (Cases) de la página Servicios Gestionados (Managed Services) muestra una lista de casos abiertos y sus detalles. La siguiente información está disponible en la pestaña Casos:
Alertas (Alerts): Número de detecciones vinculadas al caso.
Analista asignado (Assigned analyst): Analista asignado al caso.
Nombre del caso (Case name): Detección (DE) o Actividad sospechosa (SA) seguida del nombre del punto de conexión y la ruta de la detección.
Motivo del cierre (Close reason): Motivo por el cual el analista cerró el caso.
Cerrado en (Close at) el momento en que se cerró el caso.
Creado en (Created at): Momento en que se abrió el caso.
Endpoint: Nombre del dispositivo con las alertas.
ID: Número de identificación del caso.
Prioridad (Priority): Urgencia del caso.
Etapa (Stage): Fase actual del caso.
Estado (Status): Caso abierto o cerrado.
Actualizado en (Updated at): Última vez que se actualizó el caso.
Cómo ver los detalles de un caso
Para ver los detalles de cualquier caso de MTH, haz clic en el número de identificación en la columna de identificación. Esto generará la siguiente información en una nueva ventana emergente:
- Comunicaciones e historial (Communication & History)
La pestaña Comunicaciones e historial dentro del menú desplegable de detalles del caso proporciona un registro completo de la actividad del caso. Esto incluye comunicaciones entre analistas, instrucciones detalladas de solución y un registro de las acciones tomadas durante la investigación.
Para refinar la información que se muestra, puedes usar los íconos para filtrar eventos específicos, como comentarios, actualizaciones de estado u otros cambios clave, lo que garantiza un acceso rápido a los detalles más relevantes.
- Alertas y artefactos (Alerts & Artifacts)
Un solo caso puede incluir varias alertas, que a menudo representan varias actividades maliciosas interconectadas que ocurren en el mismo punto final. Estas alertas se agrupan para agilizar el análisis y mejorar el contexto. La pestaña Alertas y artefactos te permite revisar las alertas asociadas a un caso y los elementos relacionados. Para una investigación más profunda, el botón Ir a detección (Go to detection) junto a cada alerta brinda acceso directo a la detección específica o la actividad sospechosa vinculada a ese caso.
Cómo enviar una solicitud sobre un caso
Si tienes una pregunta sobre un caso de MDR:
- Haz clic en Enviar una solicitud (Submit a request).
- Ingresa el número de caso del cuál deseas preguntar.
- Selecciona una prioridad
- Ingresa una descripción
- Haz clic en Enviar (Submit).
Cómo configurar la detección y respuesta gestionadas para optimizar la protección de los endpoints
La detección y respuesta administradas requieren configuraciones específicas de EDR para funcionar correctamente. Esta configuración se encuentra en la configuración de políticas para Endpoint Protection (Endpoint Protection policy settings). Para acceder a esto, vete a Configuración de administrador (Admin settings) y selecciona Políticas en administración de dispositivos (Policies under Device Management). Si ya tienes una política creada, puedes editar esta; de lo contrario, puedes crear una nueva política seleccionando Endpoint Protection en el menú desplegable de políticas. Asegúrate de que los siguientes ajustes estén activos en el sistema operativo adecuado:
- Windows
- macOS
- Monitoreo de actividades sospechosas
- Supervisión del sistema operativo del servidor
- Bloquear el punto de conexión cuando está aislado
- Reversión de ransomware
5. Monitoreo de actividades sospechosas
6. Bloquear el punto final cuando está aislado
Cómo optimizar los análisis de amenazas
Los análisis de los endpoints en busca de posibles amenazas son un aspecto integral de la configuración de seguridad. Recomendamos al menos dos tipos de escaneados:
- Escaneo diario
- Escaneo semanal
Selecciona Diariamente (Daily) en el menú desplegable General. En Windows, en el menú desplegable Método (Method) selecciona Escaneo de amenazas (Threat Scan).
Seleccione Semanalmente en el menú desplegable Programación. Establezca el Método en Análisis personalizado y active Examinar en busca de rootkits.
Cómo garantizar la eficacia de las notificaciones
Es importante configurar todas las notificaciones necesarias para garantizar que tu y tu equipo estén alerta de posibles amenazas. La siguiente información se refiere a las notificaciones específicas para Managed Detection and Response.
Al crear una nueva notificación, selecciona Actividad de servicios administrados (Managed services activity).
Se recomienda que se agreguen algunas condiciones con respecto a cuándo se envían las notificaciones. Esto garantiza que los administradores no se sobrecarguen con mensajes que no requieren su atención.
Selecciona cada una de las opciones a continuación para ver los valores disponibles:
- Tipo de evento
- Prioridad
- Acción requerida
es igual a
- Todo
- Caso creado
- Caso actualizado
- Caso cerrado
es igual a
- Todo
- Crítico
- Alto
- Medio
- Bajo
es igual a
- Verdadero
- Falso
En la siguiente sección, selecciona cómo se deben enviar las notificaciones. Además del correo electrónico, puedes seleccionar recibir notificaciones a través de Slack/Microsoft Teams, Webhook o la aplicación ThreatDown Admin.
En el paso final, se puede activar la agregación (aggregation), reduciendo las notificaciones recibidas y permitiendo un mayor enfoque. Esto consolida varias alertas en notificaciones únicas basadas en el intervalo y la opción de agrupación que selecciones, junto con los tipos de actividad, las condiciones y los métodos de entrega elegidos anteriormente.
Selecciona Completar (Complete) en la esquina inferior derecha para guardar la nueva notificación.