Guía de uso de alertas

Las posibilidades de configuración de las alertas son numerosas, en parte porque se basan sin restricción en el uso de los filtros disponibles desde la interfaz gráfica.

El objetivo de esta guía es presentar algunos casos de uso relevantes de las alertas para responder a las necesidades de supervisión de un SI. Por supuesto, es posible inspirarse en ellos para configurar alertas que respondan de manera más precisa a la necesidad según los contextos.

Cabe destacar que a cada usuario se le asigna una alerta que indica las nuevas vulnerabilidades presentes en los activos y que han sido publicadas en al menos uno de los catálogos reconocidos por Cyberwatch.

Configurar una alerta para detectar nuevas CVE criticas en un grupo de activos

Con el objetivo de estar informado de las evoluciones relacionadas con las vulnerabilidades, es posible reutilizar la plantilla de integración de la alerta por defecto. La configuración de una alerta requiere en este caso únicamente completar su formulario de creación.

La siguiente configuración, por ejemplo, permite ser alertado cuando se detecta una nueva CVE crítica en un grupo de activos.

Configuración de una alerta que detecta nuevas CVE criticas en un grupo de activos

La configuración de esta alerta se basa en la integración SMTP - Informacion de vulnerabilidades, presente por defecto en Cyberwatch.

Campos a completar:

  • Nombre, con por ejemplo el valor Nuevas CVE criticas detectadas en el grupo <Nombre del grupo>

  • Ubicación, eligiendo Enciclopedia de vulnerabilidades

  • Filtro, seleccionando los filtros Severidad: Crítica, Estado: Vulnerabilidad presente, Grupo: <Nombre del grupo>

  • Integración, eligiendo SMTP - Informacion des vulnerabilidades

Configurar una alerta para detectar la publicación de nuevas CVE de una tecnología

Ampliando aún más el filtrado, este mecanismo también puede utilizarse para estar informado de la publicación de una nueva CVE sobre una tecnología objetivo. Este ejemplo permite el seguimiento de las publicaciones relativas a una tecnología, ya sea detectada o no en el SI.

Configuración de una alerta que detecta la publicación de nuevas CVE de una tecnología

La configuración de esta alerta se basa en la integración SMTP - Informacion de vulnerabilidades, presente por defecto en Cyberwatch.

Campos a completar:

  • Nombre, con por ejemplo el valor Nuevas CVE detectadas en la tecnología <Nombre de la tecnología>

  • Ubicación, eligiendo enciclopedia de vulnerabilidades

  • Filtro, seleccionando el filtro Tecnología: <Nombre de la tecnología>

  • Integración, eligiendo SMTP - Informacion des vulnerabilidades

Configurar una alerta que referencia los nuevos activos de un grupo

Más allá del tratamiento de alertas vinculadas a la evolución de vulnerabilidades, la modificación de las ubicaciones en el origen del filtrado permite beneficiarse de una supervisión del inventario.

Esto puede permitir tener visibilidad sobre los activos agregados dentro de un grupo.

Configuración de una alerta que referencia los nuevos activos de un grupo

La configuración de esta alerta se basa en la integración SMTP - Informacion de activos, que es posible crear desde la página Administración > Integraciones, completando:

  • Integración SMTP como protocolo de integración

  • SMTP - Informacion de activos como nombre

  • Ninguno como ubicación del desencadenador

  • Automático como destinatario

  • Si en el uso del diseno de correo de Cyberwatch

  • Informaciones de activos como asunto del correo

  • El contenido del correo siguiente:

<p>
  Este correo ha sido generado por la alerta <i>{{ alert_name | escape }}</i> de la instancia <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
  Haga clic <a href="{{ manage_link }}">aquí para gestionar la alerta</a>.
</p>

{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
  <strong><a href="{{ asset.url }}">{{ asset.name | default: 'Actif sans nom' | escape }}</a></strong><br />
  {% if asset.description != blank %}
    Descripción: {{ asset.description | truncate: 200 | escape }}<br />
  {% endif %}
  {% if asset.groups.size == 1 %}
    Grupo: {{ asset.groups[0].name | escape }}<br />
  {% elsif asset.groups.size > 0 %}
    Grupos: {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
  {% endif %}
  Número de CVE: {{ asset.cve_announcements_count }}<br />
  Número de CVE criticas: {{ asset.critical_cve_announcements_count }}<br />
  {% if asset.compliance_rules_count != 0 %}
    Número de reglas de cumplimiento: {{ asset.compliance_rules_count }}<br />
    Número de reglas de cumplimiento exitosas: {{ asset.compliance_rules_succeed_count }}<br />
    Número de reglas de cumplimiento fallidas: {{ asset.compliance_rules_failed_count }}<br />
    Número de reglas de cumplimiento en anomalía: {{ asset.compliance_rules_anomalies_count }}<br />
  {% endif %}
  Número de defectos de seguridad: {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
  y 1 mas.
{% elsif diff > 0 %}
  y {{ diff }} mas.
{% endif %}<br />

Luego, al crear la alerta, completar los campos:

  • Nombre, con por ejemplo el valor Nuevos activos detectados en el grupo <Nombre del grupo>

  • Ubicación, eligiendo Inventario de activos

  • Filtro, seleccionando el filtro Grupo: <Nombre del grupo>

  • Integración, eligiendo SMTP - Informacion de activos

Configurar una alerta que referencia los activos cuyo SO esta al final de vida

La modificación de las ubicaciones también nos permite supervisar el estado de los activos del inventario, por ejemplo gracias a los defectos de seguridad.

Es posible entonces ser alertado cuando el SO o una de las aplicaciones de un activo está al final de vida. Esto requiere filtrar respectivamente sobre los defectos de seguridad Obsolete-OS o Obsolete-Application, como se indica a continuación.

Configuración de una alerta que referencia los activos cuyo SO esta al final de vida

La configuración de esta alerta se basa en la integración SMTP - Informacion de activos, cuyos pasos de creación se detallan en la sección anterior Configuración de una alerta que referencia los nuevos activos de un grupo.

Campos a completar:

  • Nombre, con por ejemplo el valor Nuevos activos cuyo SO está al final de vida

  • Ubicación, eligiendo Inventario de activos

  • Filtro, seleccionando el filtro Defecto de seguridad: Obsolete-OS

  • Integración, eligiendo SMTP - Informacion de activos

Configurar una alerta que referencia los activos cuyo certificado TLS esta expirado / va a expirar pronto

La modificación de las ubicaciones también nos permite supervisar el estado de los activos del inventario, por ejemplo gracias a los defectos de seguridad.

Es posible entonces ser alertado cuando un certificado TLS está expirado o cuando está a punto de expirar. Esto requiere filtrar sobre el defecto de seguridad TLS_Certificate (about to expire) o TLS_Certificate (expired) como se indica a continuación.

Configuración de una alerta que referencia los activos cuyo certificado TLS esta expirado / va a expirar pronto

La configuración de esta alerta se basa en la integración SMTP - Informacion de activos, que es posible crear desde la página Administración > Integraciones, completando:

  • Integración SMTP como protocolo de integración

  • SMTP - Informacion de activos como nombre

  • Ninguno como ubicación del desencadenador

  • Automático como destinatario

  • a la Utilización de la plantilla de correo de Cyberwatch

  • Informaciones de activos como asunto del correo

  • El contenido del correo siguiente:

<p>
  Este correo ha sido generado por la alerta <i>{{ alert_name | escape }}</i> de la instancia <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
  Haga clic <a href="{{ manage_link }}">aquí para gestionar la alerta</a>.
</p>

{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
  <strong><a href="{{ asset.url }}">{{ asset.name | default: 'Activo sin nombre' | escape }}</a></strong><br />
  {% if asset.description != blank %}
    Descripción: {{ asset.description | truncate: 200 | escape }}<br />
  {% endif %}
  {% if asset.groups.size == 1 %}
    Grupo: {{ asset.groups[0].name | escape }}<br />
  {% elsif asset.groups.size > 0 %}
    Grupos: {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
  {% endif %}
  Número de CVE: {{ asset.cve_announcements_count }}<br />
  Número de CVE criticas: {{ asset.critical_cve_announcements_count }}<br />
  {% if asset.compliance_rules_count != 0 %}
    Número de reglas de cumplimiento: {{ asset.compliance_rules_count }}<br />
    Número de reglas de cumplimiento exitosas: {{ asset.compliance_rules_succeed_count }}<br />
    Número de reglas de cumplimiento fallidas: {{ asset.compliance_rules_failed_count }}<br />
    Número de reglas de cumplimiento en anomalía: {{ asset.compliance_rules_anomalies_count }}<br />
  {% endif %}
  Número de defectos de seguridad: {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
  y 1 mas.
{% elsif diff > 0 %}
  y {{ diff }} mas.
{% endif %}<br />

Luego, al crear la alerta, completar los campos:

  • Nombre, con por ejemplo el valor Nuevos activos cuyo certificado TLS está expirado / va a expirar pronto

  • Ubicación, eligiendo Inventario de activos

  • Filtro, seleccionando el filtro Defecto de seguridad: TLS_Certificate (expired/about to expire)

  • Integración, eligiendo SMTP - Informacion de activos

Volver arriba

English Français Español