Knowledge base

Volver a la descripción general del soporte

La Búsqueda Gestionada de Amenazas o Managed Threat Hunting (MTH) es un servicio basado en la nube diseñado para detectar posibles ataques correlacionados con la inteligencia de amenazas, respuestas automatizadas y orquestadas, y un indicador de resumen de compromiso y escalada a través de un equipo de personal de seguridad.

Este artículo se aplica a tod@s l@s clientes de MTH.

Características de Managed Threat Hunting (MTH)

  • Guía de búsqueda y corrección de amenazas activas de Malwarebytes Endpoint Detection and Response (EDR) las 24 horas del día, los 7 días de la semana, los 365 días del año.
  • Personal de seguridad capacitado con experiencia en el servicio a clientes de diversos tamaños y verticales.
  • Inteligencia artificial y aprendizaje automático de back-end respaldados por un motor de análisis patentado.
  • Plataforma de back-end patentada basada en la nube con fuentes de inteligencia integradas.
  • Retrospectiva de 31 días de los indicadores críticos de compromiso (IoC).
  • Los incidentes son planteados discretamente por el portal Nebula® ThreatDown.
  • Notificaciones escalonadas impulsadas por el cliente en función de la gravedad del incidente.

Primeros pasos

TeamViewer confirmará a través de una ventana emergente una vez que el servicio esté activado en tu cuenta. Selecciona el botón Configurar MTH /Setup MTH) para continuar con la configuración inicial.

Configura el contacto principal, el o los de respaldo y los alternativos en la siguiente pantalla. Selecciona el menú desplegable de contacto principal y selecciona el miembro deseado del perfil de tu empresa. Si no ha sido añadido automáticamente, agrega el número de teléfono principal de este contacto.

Nota: Solo se requiere el contacto principal. Se pueden agregar contactos de respaldo y alternativos si es necesario.

Una vez completado, haz clic en Guardar en la esquina superior derecha de la pantalla. Una notificación emergente indicará que Managed Threat Hunting se ha activado correctamente.

Nota: EDR debe estar activado antes de intentar activar Managed Threat Hunting. Un mensaje de error aparecerá si intentas activar el complemento MTH antes de activar Endpoint Detection & Response.

Cómo acceder al Portal MTH

El portal Managed Threat Hunting (MTH) administra todos los aspectos del servicio. Se puede acceder a él seleccionando el botón Nebula, que se encuentra en la configuración o en la pestaña de detecciones. Una vez en Nebula, selecciona Servicios Gestionados (Managed Services) en la esquina superior derecha.

Descubre el Portal MTH

El portal MTH, desarrollado por ThreatDown, es el panel de control de tu licencia. Dentro del portal se encuentra la pestaña Servicios Gestionados (Managed Services), donde se pueden ver todos los informes proporcionados por MTH.

Los Servicios administrados se dividen en dos secciones principales:

Descripción general (Overview)

La pestaña Descripción general proporciona un resumen centralizado y de alto nivel de tus casos de Servicios Gestionados a través de una colección de widgets interactivos. Estos widgets están diseñados para ofrecer información general sobre la actividad de los casos, lo que ayuda a los usuarios a monitorear y evaluar la postura de seguridad de su entorno Nebula de manera eficaz. Al presentar datos concisos y relevantes, la pestaña Descripción general sirve como punto de partida para comprender las tendencias, identificar áreas de preocupación y priorizar las acciones.

Esta pestaña es particularmente útil para comprender rápidamente la actividad maliciosa en tu entorno. Admite el filtrado específico por tiempo, lo que permite a los usuarios limitar el alcance de la información mostrada a un período en particular. Esta funcionalidad facilita el análisis de tendencias o la investigación de incidentes dentro de un período de tiempo elegido.

Los siguientes widgets están disponibles en la pestaña Descripción general, cada uno con un propósito específico:

  1. Casos por Etapa (Stage): este widget ofrece una descripción general de la actividad de los casos al categorizarlos según su etapa actual en el ciclo de vida de respuesta a incidentes. Esto ayuda a los usuarios a realizar un seguimiento del progreso de los casos, por ejemplo, si son nuevos, están bajo investigación o se han resuelto.
  2. Casos por Prioridad (Priority): este widget muestra la cantidad de casos abiertos agrupados por su nivel de prioridad. Al resaltar la urgencia de cada caso, los usuarios pueden identificar rápidamente los casos de alta prioridad que pueden requerir atención inmediata, lo que garantiza que los problemas críticos se aborden con prontitud.
  3. Principales motivos de cierre de casos (Case Close): este widget identifica los motivos más comunes para cerrar casos según lo determinado por los analistas. Resumir estas tendencias proporciona información valiosa sobre los factores recurrentes que impulsan las resoluciones de casos, lo que ayuda a los equipos a optimizar sus estrategias de respuesta y mejorar los resultados futuros.

 

Casos (cases)

La pestaña Casos de la página Servicios Gestionados (Managed Services) muestra una lista de casos abiertos y sus detalles. La siguiente información está disponible en dicha pestaña:

  • Alertas (Alerts): cantidad de detecciones vinculadas al caso.
  • Analista asignado Assigned analyst): analista asignado al caso.
  • Nombre del caso (Case name): Detección (DE) o Actividad Sospechosa (SA) seguida del nombre del endpoint y la ruta de la detección.
  • Motivo del cierre (Close reason): motivo por el que el analista cerró el caso.
  • Cerrado en (Closed at): el momento en que se cerró el caso.
  • Creado en (Created at): momento en que se abrió el caso.
  • Endpoint: nombre del dispositivo con las alertas.
  • ID: Número de identificación del caso.
  • Prioridad (Priority): Urgencia del caso.
  • Etapa Stage): Fase actual del caso.
  • Estado (Status): Caso abierto o cerrado.
  • Actualizado en (Updated at): Última vez que se actualizó el caso.

Cómo ver los detalles de un caso

Para ver los detalles de cualquier caso de MTH, haz clic en el número de identificación en la columna de identificación. Esto generará la siguiente información en un nueva ventana emergente:

  • Comunicaciones e historial (Communications & History)

La pestaña Comunicaciones e historial dentro del menú desplegable de detalles del caso proporciona un registro completo de la actividad del caso. Esto incluye comunicaciones entre analistas, instrucciones detalladas de solución y un registro de las acciones tomadas durante la investigación.

Para refinar la información que se muestra, puedes usar los íconos para filtrar eventos específicos, como comentarios, actualizaciones de estado u otros cambios clave, lo que garantiza un acceso rápido a los detalles más relevantes.

  • Alertas y artefactos (Alerts & Artifacts)

Un solo caso puede incluir varias alertas, que a menudo representan varias actividades maliciosas interconectadas que ocurren en el mismo punto final. Estas alertas se agrupan para agilizar el análisis y mejorar el contexto. La pestaña Alertas y artefactos te permiten revisar las alertas asociadas a un caso y los elementos relacionados. Para una investigación más profunda, el botón Ir a detección (Go to detection) junto a cada alerta brinda acceso directo a la detección específica o la actividad sospechosa vinculada a ese caso.

Cómo configurar MTH para optimizar la protección de tus endpoints

MTH requiere configuraciones específicas de EDR para funcionar con éxito. Esta configuración se encuentra en la configuración de políticas de Endpoint Protection (Endpoint Protection policy settings). Para acceder a esto, vete a Configuración de administrador (Admin settings) y selecciona Políticas en Administración de dispositivos (Policies under Device Management). Si ya tienes una política creada, puedes editarla; de lo contrario, puedes crear una nueva directiva seleccionando Endpoint Protection en el menú desplegable de políticas. Asegúrate de que los siguientes ajustes estén activos en el sistema operativo adecuado:

  1. Monitoreo de actividades sospechosas
  2. Supervisión del sistema operativo del servidor
  3. Bloquear el punto de conexión cuando está aislado
  4. Reversión de ransomware

5. Monitoreo de actividades sospechosas

6. Bloquear el punto final cuando está aislado

Cómo garantizar la eficacia de las notificaciones

Configurar todas las notificaciones necesarias es importante para garantizar que tu y tu equipo estén alerta de posibles amenazas. La siguiente información se refiere a las notificaciones específicas de Managed Threat Hunting.

Nota: Las notificaciones se gestionan en la consola Nebula de ThreatDown.

Al crear una nueva notificación, selecciona "Actividad de servicios administrados (Managed services activity)".  

Se recomienda que se agreguen algunas condiciones con respecto a cuándo se envían las notificaciones. Esto garantiza que los administradores no se sobrecarguen con mensajes que no requieren su atención.

Selecciona cada una de las opciones a continuación para ver sus valores disponibles:

es igual a

  • Todo
  • Caso creado
  • Caso actualizado
  • Caso cerrado

es igual a

  • Todo
  • Crítico
  • Alto
  • Medio
  • Bajo

es igual a

  • Verdadero
  • Falso

En la siguiente sección, selecciona cómo se deben enviar las notificaciones. Además del correo electrónico, puedes seleccionar recibir notificaciones a través de Slack/Microsoft Teams, Webhook o la aplicación ThreatDown Admin.

En el paso final, se puede activar la agregación (aggregation), reduciendo las notificaciones recibidas y permitiendo un mayor enfoque. Esto consolida varias alertas en notificaciones únicas basadas en el intervalo y la opción de agrupación que selecciones, junto con los tipos de actividad, las condiciones y los métodos de entrega elegidos anteriormente.

Selecciona Completar (Complete) en la esquina inferior derecha para guardar la nueva notificación.