Knowledge base

Volver a la descripción general del soporte

La búsqueda gestionada de amenazas o Managed Threat Hunting (MTH) impulsada por ThreatDown es un servicio basado en la nube diseñado para detectar posibles ataques correlacionados con la inteligencia de amenazas, respuestas automatizadas y orquestadas, y un indicador de resumen de compromiso y escalada a través de un equipo de personal de seguridad.

Este artículo se aplica a tod@s l@s clientes de MTH.

Características de Managed Threat Hunting

  • Guía de búsqueda y corrección de amenazas activas de Malwarebytes Endpoint Detection and Response (EDR) las 24 horas del día, los 7 días de la semana, los 365 días del año.
  • Personal de seguridad capacitado con experiencia en el servicio a clientes de diversos tamaños y verticales.
  • Inteligencia artificial y aprendizaje automático de back-end respaldados por un motor de análisis patentado.
  • Plataforma de back-end patentada basada en la nube con fuentes de inteligencia integradas.
  • Retrospectiva de 31 días de los indicadores críticos de compromiso (IoC).
  • Los incidentes son planteados discretamente por el portal Nebula® ThreatDown.
  • Notificaciones escalonadas impulsadas por el cliente en función de la gravedad del incidente.

Primeros pasos

TeamViewer confirmará a través de una ventana emergente una vez que el servicio esté activado en tu cuenta. Selecciona el botón Setup MTH para continuar con la configuración inicial.

Configura el contacto principal, el o los de respaldo y los alternativos en la siguiente pantalla. Selecciona el menú desplegable de contacto principal y selecciona el miembro deseado del perfil de tu empresa. Si no ha sido añadido automáticamente, agrega el número de teléfono principal de este contacto.

Nota: Solo se requiere el contacto principal. Se pueden agregar contactos de respaldo y alternativos si es necesario.

Una vez completado, haz clic en Guardar en la esquina superior derecha de la pantalla. Una notificación emergente indicráa que Managed Threat Hunting se ha activado correctamente.

Nota: EDR debe estar activado antes de intentar activar Managed Threat Hunting. Un mensaje de error aparecerá si intentas activar el complemento MTH antes de activar Endpoint Detection & Response.

Cómo acceder al Portal MTH

El portal Managed Threat Hunting (MTH) administra todos los aspectos del servicio. Se puede acceder a él seleccionando el botón Nebula, que se encuentra en la configuración o en la pestaña de detecciones. Una vez en Nebula, selecciona MTH Portal en la esquina superior derecha.

Descubre el Portal MTH

Todos los informes sobre amenazas detectadas por Managed Threat Hunting se pueden ver en el portal MTH. Para navegar a las otras secciones del Portal MTH, use el menú en la esquina superior izquierda.

Panel de control (Dashboard)

El panel contiene una descripción general rápida de todos los dispositivos y amenazas, incluida una descripción general de los informes que van desde un mes hasta más. Esto también proporciona un estado de todos los casos, alertas e incidentes en el Resumen del entorno.

Tu cuaderno de tareas (Your Workbook)

Tu cuaderno de tareas es una descripción general sencilla de todos los casos en los que se requiere tu ayuda para realizar acciones adicionales. Además, aquí se muestran los informes proporcionados anteriormente con respecto a todas las amenazas.

Cómo configurar MTH para optimizar la protección de tus endpoints

MTH requiere configuraciones específicas de EDR para funcionar con éxito. Esta configuración se encuentra en la configuración de políticas de Endpoint Protection (Endpoint Protection policy settings). Para acceder a esto, vete a Configuración de administrador (Admin settings) y selecciona Políticas en Administración de dispositivos (Policies under Device Management). Si ya tienes una política creada, puedes editarla; de lo contrario, puedes crear una nueva directiva seleccionando Endpoint Protection en el menú desplegable de políticas. Asegúrate de que los siguientes ajustes estén activos en el sistema operativo adecuado:

  1. Monitoreo de actividades sospechosas
  2. Supervisión del sistema operativo del servidor
  3. Bloquear el punto de conexión cuando está aislado
  4. Reversión de ransomware

5. Monitoreo de actividades sospechosas

6. Bloquear el punto final cuando está aislado

Cómo garantizar la eficacia de las notificaciones

Configurar todas las notificaciones necesarias es importante para garantizar que tu y tu equipo estén alerta de posibles amenazas. La siguiente información se refiere a las notificaciones específicas de Managed Threat Hunting.

Nota: Las notificaciones se gestionan en la consola Nebula de ThreatDown.

Al crear una nueva notificación, selecciona "Actividad de servicios administrados (Managed services activity)".  

Se recomienda que se agreguen algunas condiciones con respecto a cuándo se envían las notificaciones. Esto garantiza que los administradores no se sobrecarguen con mensajes que no requieren su atención.

Selecciona cada una de las opciones a continuación para ver sus valores disponibles:

es igual a

  • Todo
  • Caso creado
  • Caso actualizado
  • Caso cerrado

es igual a

  • Todo
  • Crítico
  • Alto
  • Medio
  • Bajo

es igual a

  • Verdadero
  • Falso

En la siguiente sección, selecciona cómo se deben enviar las notificaciones. Además del correo electrónico, puedes seleccionar recibir notificaciones a través de Slack/Microsoft Teams, Webhook o la aplicación ThreatDown Admin.

En el paso final, se puede activar la agregación (aggregation), reduciendo las notificaciones recibidas y permitiendo un mayor enfoque. Esto consolida varias alertas en notificaciones únicas basadas en el intervalo y la opción de agrupación que selecciones, junto con los tipos de actividad, las condiciones y los métodos de entrega elegidos anteriormente.

Selecciona Completar (Complete) en la esquina inferior derecha para guardar la nueva notificación.