Guía de uso de alertas

Las posibilidades de configuración de alertas son numerosas, en parte porque se basan sin restriccion en el uso de los filtros disponibles desde la interfaz grafica.

El objetivo de esta guía es presentar algunos casos de uso relevantes de alertas para responder a las necesidades de supervisión de un SI. Por supuesto es posible inspirarse en ellos para configurar alertas que respondan mas finamente a las necesidades según los contextos.

Tenga en cuenta que a cada usuario se le asigna una alerta que indica las nuevas vulnerabilidades presentes en los activos y publicadas en al menos uno de los catálogos reconocidos por Cyberwatch.

Configurar una alerta para detectar nuevas CVE criticas en un grupo de activos

Manteniendo el objetivo de estar informado sobre la evolucion relacionada con las vulnerabilidades, es posible reutilizar la plantilla de integración de la alerta por defecto. La configuración de una alerta en este caso solo requiere completar su formulario de creación.

La siguiente configuración, por ejemplo, permite ser alertado cuando se detecta una nueva CVE critica en un grupo de activos.

Configuración de una alerta que detecta nuevas CVE criticas en un grupo de activos

La configuración de esta alerta se basa en la integración SMTP - Informacion de vulnerabilidades, presente por defecto en Cyberwatch.

Campos a completar:

  • Nombre, con por ejemplo el valor Nuevas CVE criticas detectadas en el grupo <Nombre del grupo>

  • Ubicacion, eligiendo Enciclopedia de vulnerabilidades

  • Filtro, seleccionando los filtros Severidad: Critica, Estado: Vulnerabilidad presente, Grupo: <Nombre del grupo>

  • Integracion, eligiendo SMTP - Informacion de vulnerabilidades

Configurar una alerta para detectar la publicación de nuevas CVE de una tecnología

Extendiendo aun mas el filtrado, este mecanismo también puede usarse para estar informado sobre la publicación de nuevas CVE en una tecnología objetivo. Este ejemplo permite el seguimiento de publicaciones relativas a una tecnología, sea detectada o no en el SI.

Configuración de una alerta que detecta la publicación de nuevas CVE de una tecnología

La configuración de esta alerta se basa en la integración SMTP - Informacion de vulnerabilidades, presente por defecto en Cyberwatch.

Campos a completar:

  • Nombre, con por ejemplo el valor Nuevas CVE detectadas en la tecnologia <Nombre de la tecnologia>

  • Ubicacion, eligiendo Enciclopedia de vulnerabilidades

  • Filtro, seleccionando el filtro Tecnologia: <Nombre de la tecnologia>

  • Integracion, eligiendo SMTP - Informacion de vulnerabilidades

Configurar una alerta que referencia los nuevos activos de un grupo

Mas alla del tratamiento de alertas relacionadas con la evolucion de vulnerabilidades, el cambio de ubicaciones en el origen del filtrado permite beneficiarse de una supervisión del inventario.

Esto puede permitir tener visibilidad sobre los activos agregados dentro de un grupo.

Configuración de una alerta que referencia los nuevos activos de un grupo

La configuración de esta alerta se basa en la integración SMTP - Informacion de activos, que puede crearse desde la pagina Administración > Integraciones, completando:

  • Integracion SMTP como protocolo de integración

  • SMTP - Informacion de activos como nombre

  • Ninguno como ubicación del desencadenador

  • Automatico como destinatario

  • Si en el uso del diseno de correo de Cyberwatch

  • Informacion de activos como asunto del correo

  • El contenido del correo siguiente:

<p>
  Este correo fue generado por la alerta <i>{{ alert_name | escape }}</i> de la instancia <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
  Hacer clic <a href="{{ manage_link }}">aqui para gestionar la alerta</a>.
</p>

{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
  <strong><a href="{{ asset.url }}">{{ asset.name | default: 'Activo sin nombre' | escape }}</a></strong><br />
  {% if asset.description != blank %}
    Descripcion: {{ asset.description | truncate: 200 | escape }}<br />
  {% endif %}
  {% if asset.groups.size == 1 %}
    Grupo: {{ asset.groups[0].name | escape }}<br />
  {% elsif asset.groups.size > 0 %}
    Grupos: {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
  {% endif %}
  Numero de CVE: {{ asset.cve_announcements_count }}<br />
  Numero de CVE criticas: {{ asset.critical_cve_announcements_count }}<br />
  {% if asset.compliance_rules_count != 0 %}
    Numero de reglas de cumplimiento: {{ asset.compliance_rules_count }}<br />
    Numero de reglas de cumplimiento exitosas: {{ asset.compliance_rules_succeed_count }}<br />
    Numero de reglas de cumplimiento fallidas: {{ asset.compliance_rules_failed_count }}<br />
    Numero de reglas de cumplimiento en anomalia: {{ asset.compliance_rules_anomalies_count }}<br />
  {% endif %}
  Numero de defectos de seguridad: {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
  y 1 mas.
{% elsif diff > 0 %}
  y {{ diff }} mas.
{% endif %}<br />

Luego completar al crear la alerta los campos:

  • Nombre, con por ejemplo el valor Nuevos activos detectados dentro del grupo <Nombre del grupo>

  • Ubicacion, eligiendo Inventario de activos

  • Filtro, seleccionando el filtro Grupo: <Nombre del grupo>

  • Integracion, eligiendo SMTP - Informacion de activos

Configurar una alerta que referencia los activos cuyo SO esta al final de vida

El cambio de ubicaciones también permite supervisar el estado de los activos del inventario, por ejemplo mediante defectos de seguridad.

Es posible ser alertado cuando el SO o alguna de las aplicaciones de un activo ha llegado al fin de vida. Esto requiere filtrar respectivamente sobre los defectos de seguridad Obsolete-OS o Obsolete-Application, como se indica a continuación.

Configuración de una alerta que referencia los activos cuyo SO esta al final de vida

La configuración de esta alerta se basa en la integración SMTP - Informacion de activos, cuyos pasos de creación se detallan en la sección anterior “Configuración de una alerta que referencia los nuevos activos de un grupo”.

Campos a completar:

  • Nombre, con por ejemplo el valor Nuevos activos cuyo SO esta al final de vida

  • Ubicacion, eligiendo Inventario de activos

  • Filtro, seleccionando el filtro Defecto de seguridad: Obsolete-OS

  • Integracion, eligiendo SMTP - Informacion de activos

Configurar una alerta que referencia los activos cuyo certificado TLS esta expirado / va a expirar pronto

El cambio de ubicaciones también permite supervisar el estado de los activos del inventario, por ejemplo mediante defectos de seguridad.

Es posible ser alertado cuando un certificado TLS esta expirado o cuando esta a punto de expirar. Esto requiere filtrar sobre el defecto de seguridad TLS_Certificate (about to expire) o TLS_Certificate (expired) como se indica a continuación.

Configuración de una alerta que referencia los activos cuyo certificado TLS esta expirado / va a expirar pronto

La configuración de esta alerta se basa en la integración SMTP - Informacion de activos, que puede crearse desde la pagina Administración > Integraciones, completando:

  • Integracion SMTP como protocolo de integración

  • SMTP - Informacion de activos como nombre

  • Ninguno como ubicación del desencadenador

  • Automatico como destinatario

  • Si en el uso del diseno de correo de Cyberwatch

  • Informacion de activos como asunto del correo

  • El contenido del correo siguiente:

<p>
  Este correo fue generado por la alerta <i>{{ alert_name | escape }}</i> de la instancia <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
  Hacer clic <a href="{{ manage_link }}">aqui para gestionar la alerta</a>.
</p>

{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
  <strong><a href="{{ asset.url }}">{{ asset.name | default: 'Activo sin nombre' | escape }}</a></strong><br />
  {% if asset.description != blank %}
    Descripcion: {{ asset.description | truncate: 200 | escape }}<br />
  {% endif %}
  {% if asset.groups.size == 1 %}
    Grupo: {{ asset.groups[0].name | escape }}<br />
  {% elsif asset.groups.size > 0 %}
    Grupos: {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
  {% endif %}
  Numero de CVE: {{ asset.cve_announcements_count }}<br />
  Numero de CVE criticas: {{ asset.critical_cve_announcements_count }}<br />
  {% if asset.compliance_rules_count != 0 %}
    Numero de reglas de cumplimiento: {{ asset.compliance_rules_count }}<br />
    Numero de reglas de cumplimiento exitosas: {{ asset.compliance_rules_succeed_count }}<br />
    Numero de reglas de cumplimiento fallidas: {{ asset.compliance_rules_failed_count }}<br />
    Numero de reglas de cumplimiento en anomalia: {{ asset.compliance_rules_anomalies_count }}<br />
  {% endif %}
  Numero de defectos de seguridad: {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
  y 1 mas.
{% elsif diff > 0 %}
  y {{ diff }} mas.
{% endif %}<br />

Luego completar al crear la alerta los campos:

  • Nombre, con por ejemplo el valor Nuevos activos cuyo certificado TLS esta expirado / va a expirar pronto

  • Ubicacion, eligiendo Inventario de activos

  • Filtro, seleccionando el filtro Defecto de seguridad: TLS_Certificate (expired/about to expire)

  • Integracion, eligiendo SMTP - Informacion de activos

Volver arriba

English Français Español