Knowledge base

Volver a la descripción general del soporte

TeamViewer Endpoint Protection ofrece protección continua para tus endpoints contra todo tipo de amenazas; la Detección y respuestas gestionadas o Managed Detection and Response lleva esta protección más allá al proporcionar respuestas de alta precisión a las amenazas. Al reducir el tiempo de permanencia de las amenazas críticas y proporcionar un tiempo medio de resolución (MTTR) más rápido, TeamViewer Endpoint Protection sigue proporcionando a las empresas medidas para ahorrar costes, reducir el tiempo de inactividad y aumentar la eficacia general de la detección de amenazas.

Este artículo se aplica a l@s clientes de TeamViewer Endpoint Protection con el complemento/Add-on MDR.

 

Características de la Detección y respuestas gestionadas o Managed Detection and Response

  • El monitoreo de seguridad las 24 horas del día, los 7 días de la semana, los 365 días del año utiliza la tecnología de detección y respuesta de endpoints (EDR) y la experiencia humana para monitorear la actividad de los endpoints en busca de eventos sospechosos.
  • Detección avanzada de amenazas que utiliza herramientas y técnicas sofisticadas como la inteligencia de amenazas y el análisis de comportamiento para identificar y detener incluso las amenazas más novedosas
  • Detección y análisis de amenazas por parte de profesionales de seguridad capacitados para determinar la gravedad y el impacto potencial de cualquier amenaza detectada.
  • Caza de amenazas, en la que los analistas de seguridad buscan activamente amenazas ocultas dentro de la red.
  • Las opciones de corrección flexibles garantizan que el equipo de MDR pueda remediar activamente las amenazas a medida que se descubren o proporcionar una guía altamente procesable para que los equipos de TI la sigan en sus esfuerzos de corrección.

Primeros pasos

TeamViewer confirmará a través de una ventana emergente una vez que el servicio esté activado en tu cuenta. Selecciona el botón Configurar MDR para continuar con la configuración inicial.

Configura el contacto principal, el o los de respaldo y los alternativos en la siguiente pantalla. Selecciona el menú desplegable de contacto principal y selecciona el miembro deseado del perfil de tu empresa. Si no ha sido añadido automáticamente, agrega el número de teléfono principal de este contacto.

Nota: Solo se requiere el contacto principal. Se pueden agregar contactos alternativos y de respaldo si es necesario.

En la sección Autorización de corrección (Remediation authorization) , selecciona si prefieres la corrección administrada por ThreatDown (ThreatDown managed) o Corrección guiada (Guided remediation) para las amenazas encontradas:

 

  • Si se selecciona ThreatDown administrado (ThreatDown managed) , las amenazas se corregirán automáticamente sin reinicios, recreación de imágenes u otras tareas.
  • Si se selecciona Corrección guiada (Guided remediation), se te guiará a través de los pasos para corregir posibles amenazas, incluida la necesidad de otras tareas potenciales, como reinicios.

En la sección final, Autorización de aislamiento (Isolation authorization), elije si autorizas o no que los puntos de conexión se aíslen en tu nombre cuando se requiera una respuesta de seguridad. Esto autoriza tanto a las estaciones de trabajo como a los servidores.

Una vez completado, haz clic en Guardar en la esquina superior derecha de la pantalla. Una notificación emergente indica que la detección y respuesta administradas se han activado correctamente.

Nota: EDR debe estar activado antes de intentar activar Managed Detection and Response. Un mensaje de error aparecerá si intentas activar el complemento MDR antes de activar Endpoint Detection & Response.

Cómo acceder al portal MDR

El portal de detección y respuesta administradas (MDR) administra todos los aspectos del servicio. Se puede acceder seleccionando el botón Nebula, que se encuentra en la configuración o en la pestaña de detecciones. Una vez en Nebula, selecciona MDR Portal en la esquina superior derecha.

Descubra el portal MDR

El Portal MDR es donde se pueden ver todas las amenazas detectadas por MDR. Esto incluye las amenazas que no requieren ninguna acción por parte del usuario y las que sí lo requieren (indicadas con un TR a la derecha de la amenaza).

Si debes realizar una acción adicional, por ejemplo, reiniciar el dispositivo, puedes acceder a la pared de la caja. Los filtros a continuación te permiten ver solo mensajes, averiguar qué se debe hacer y responder.

 

Nota: Cualquier respuesta debe comenzar con @analyst.

Para navegar a las otras secciones del Portal MDR, usa el menú en la esquina superior izquierda.

Panel de control (Dashboard)

El panel contiene una descripción general rápida de todos los dispositivos y amenazas, incluida una descripción general de los informes que van desde un mes hasta más. Esto también proporciona un estado de todos los casos, alertas e incidentes en el Resumen del entorno

Tu cuaderno de tareas (Your Workbook)

Tu cuaderno de tareas es una descripción general sencilla de todos los casos en los que se requiere tu ayuda para realizar acciones adicionales. Además, aquí se muestran los informes proporcionados anteriormente con respecto a todas las amenazas.

Solicitudes (Requests)

Las solicitudes permiten a los usuarios hablar directamente con el equipo de MDR que evalúa sus dispositivos. Esto se puede usar para hacer preguntas generales o preguntar sobre casos que ya se han cerrado.

Cómo configurar la detección y respuesta gestionadas para optimizar la protección de los endpoints

La detección y respuesta administradas requieren configuraciones específicas de EDR para funcionar correctamente. Esta configuración se encuentra en la configuración de políticas para Endpoint Protection (Endpoint Protection policy settings). Para acceder a esto, vete a Configuración de administrador (Admin settings) y selecciona Políticas en administración de dispositivos (Policies under Device Management). Si ya tienes una política creada, puedes editar esta; de lo contrario, puedes crear una nueva política seleccionando Endpoint Protection en el menú desplegable de políticas. Asegúrate de que los siguientes ajustes estén activos en el sistema operativo adecuado:

  1. Monitoreo de actividades sospechosas
  2. Supervisión del sistema operativo del servidor
  3. Bloquear el punto de conexión cuando está aislado
  4. Reversión de ransomware

5. Monitoreo de actividades sospechosas

6. Bloquear el punto final cuando está aislado

Cómo optimizar los análisis de amenazas

Los análisis de los endpoints en busca de posibles amenazas son un aspecto integral de la configuración de seguridad. Recomendamos al menos dos tipos de escaneados:

Selecciona Diariamente (Daily) en el menú desplegable General. En Windows, en el menú desplegable Método (Method) selecciona Escaneo de amenazas (Threat Scan).

 

Seleccione Semanalmente en el menú desplegable Programación. Establezca el Método en Análisis personalizado y active Examinar en busca de rootkits.

Cómo garantizar la eficacia de las notificaciones

Es importante configurar todas las notificaciones necesarias para garantizar que tu y tu equipo estén alerta de posibles amenazas. La siguiente información se refiere a las notificaciones específicas para Managed Detection and Response.

Nota: Las notificaciones se gestionan en la consola Nebula de ThreatDown.

Al crear una nueva notificación, selecciona Actividad de servicios administrados (Managed services activity).  

Se recomienda que se agreguen algunas condiciones con respecto a cuándo se envían las notificaciones. Esto garantiza que los administradores no se sobrecarguen con mensajes que no requieren su atención.

Selecciona cada una de las opciones a continuación para ver los valores disponibles:

es igual a

  • Todo
  • Caso creado
  • Caso actualizado
  • Caso cerrado

es igual a

  • Todo
  • Crítico
  • Alto
  • Medio
  • Bajo

es igual a

  • Verdadero
  • Falso

En la siguiente sección, selecciona cómo se deben enviar las notificaciones. Además del correo electrónico, puedes seleccionar recibir notificaciones a través de Slack/Microsoft Teams, Webhook o la aplicación ThreatDown Admin.

En el paso final, se puede activar la agregación (aggregation), reduciendo las notificaciones recibidas y permitiendo un mayor enfoque. Esto consolida varias alertas en notificaciones únicas basadas en el intervalo y la opción de agrupación que selecciones, junto con los tipos de actividad, las condiciones y los métodos de entrega elegidos anteriormente.

Selecciona Completar (Complete) en la esquina inferior derecha para guardar la nueva notificación.