Recorrido típico del usuario

Esta página constituye una guía de introducción al uso del software Cyberwatch.

El objetivo es resaltar las buenas prácticas para la incorporación de activos y la ampliación progresiva de la aplicación una vez desplegada por nuestros equipos.

Esta guía también puede usarse como base de trabajo y línea directriz para las pruebas durante un POC (prueba de concepto) del software, por ejemplo.

Despliegue y creación de usuarios

El despliegue de la aplicación, en la mayoría de los casos, está supervisado por nuestros equipos.

Las configuraciones simples, como la creación del primer usuario y el registro de la licencia, también se realizan durante el despliegue.

La creación de usuarios locales puede hacerse manualmente desde la aplicación, pero recomendamos configurar un método de autenticación centralizado usando un proveedor de identidad (LDAP, SAML, OpenID Connect).

También es posible configurar un servidor SMTP para el envío de correos electrónicos e informes directamente desde la aplicación.

Estos elementos pueden configurarse tras el despliegue o posteriormente.

Hay páginas de documentación específicas y más técnicas para ayudar a configurarlos.

Descubrimientos

En una instancia nueva, el primer paso suele ser iniciar escaneos de descubrimiento.

El objetivo de estos descubrimientos es obtener una primera visión de los activos presentes en su sistema de información.

Estos activos descubiertos no se escanearán ni registrarán automáticamente en Cyberwatch sin acciones adicionales.

Existen numerosos tipos de descubrimientos que pueden adaptarse a su sistema de información.

Consulte la documentación de descubrimiento de activos para empezar a utilizarlos.

Caso práctico: escaneo de descubrimiento de Active Directory o VMware vSphere

Mostrar el caso práctico

La mayoría de los sistemas de información cuentan con soluciones para administrar e inventariar los elementos de infraestructura local que componen el sistema de información.

Tomemos como ejemplo una conexión de Cyberwatch con herramientas como VMware vSphere y Active Directory para recuperar la lista de activos conocidos por estas soluciones.

Para lanzar un escaneo de este tipo, siga el procedimiento a continuación:

  1. Crear una credencial registrada cuyo tipo corresponda al descubrimiento que se lanzará posteriormente
  2. Crear también una credencial registrada del tipo SSH con contraseña/clave o WinRM con HTTP Negotiate que será utilizada por Cyberwatch para conectarse a sus activos y realizar un escaneo autenticado
  3. Ir a la página de creación de un descubrimiento y lanzar un descubrimiento VMware vSphere o Active Directory
  4. Completar el formulario con las opciones deseadas. Dejar el campo “Tipo de conexión en modo sin agente” con su valor por defecto: Sin conexión sin agente
  5. Visualizar los activos descubiertos por el escaneo de descubrimiento una vez finalizado
  6. Seleccionar los activos que desea escanear con la casilla de la izquierda y hacer clic en el botón “Acciones masivas > Escanear con conexiones en modo sin agente”
  7. Seleccionar el tipo de conexión y la credencial registrada creada previamente y confirmar
  8. Cyberwatch creará las Conexiones en modo sin agente solicitadas e intentará autenticarse en los activos con la credencial proporcionada. Las conexiones funcionales mostrarán un icono de escudo verde en la columna “Modo”. También aparecerá un icono de calendario, que podrá ser verde o amarillo sin impacto en el análisis
  9. Los activos creados tras estos escaneos estarán automáticamente presentes en el inventario de activos de la aplicación

Este caso práctico es un ejemplo clásico de uso de un escaneo de descubrimiento para supervisar activos procedentes de dicho descubrimiento.

Existen muchas otras metodologías que permiten obtener resultados similares.

Añadir activos

Una vez definido el perímetro de sus activos mediante los descubrimientos, el siguiente paso consiste en escanear, de forma autenticada, los activos deseados.

Para ello, Cyberwatch ofrece varios métodos de supervisión que se adaptan a las restricciones de su sistema de información.

Consulte la documentación de presentación de los diferentes modos de escaneo para comprender las funcionalidades relacionadas con estos modos de escaneo.

Estos escaneos serán utilizados por Cyberwatch para identificar las vulnerabilidades y problemas de seguridad en sus activos.

Implementar mecanismos de priorización

Para priorizar mejor los resultados reportados por los escaneos, Cyberwatch ofrece mecanismos que ayudan a definir criterios específicos para su entorno y determinar qué vulnerabilidades se considerarán prioritarias.

Cyberwatch permite definir y asociar una criticidad a uno o varios activos. Para obtener detalles sobre el funcionamiento de las criticidades, consulte la documentación de uso de las criticidades.

Caso práctico: crear una criticidad y asociarla a activos

Mostrar el caso práctico

Este caso práctico describe cómo crear una nueva criticidad y cómo asignarla a activos.

  1. Ir al menú Configuración > Criticidades
  2. Crear una nueva criticidad, indicando por ejemplo los siguientes elementos:
    • Nombre: Crítica
    • Umbral CVSS superior a: 6
    • Puntuación EPSS superior a: 0,1%
    • Seleccionar Marcar como prioritarias las vulnerabilidades presentes en cualquier catálogo
    • Establecer los tres requisitos en Alta
  3. Una vez creada la criticidad, ir al Inventario de activos
  4. Filtrar los activos según un criterio de su elección, por ejemplo escribiendo prod en la barra de búsqueda, lo que filtrará todos los activos cuyo hostname contenga esta cadena
  5. Seleccionar los activos deseados con la casilla de la izquierda, hacer clic en el botón “Ediciones masivas > Modificar la criticidad” y seleccionar la criticidad Crítica recién creada

Inventario y análisis de vulnerabilidades identificadas en los activos

Una vez supervisados los activos y establecidos los mecanismos de priorización, Cyberwatch le permitirá identificar las acciones prioritarias a realizar.

Desde el inventario de activos, podrá consultar todos los activos supervisados, ordenados por defecto por el número de vulnerabilidades prioritarias identificadas.

El inventario permite filtrar los activos según diferentes criterios, ordenarlos por determinadas columnas mostradas y seleccionar las columnas visibles.

Un conjunto de ediciones y acciones masivas también está disponible para interactuar con las propiedades de los activos en Cyberwatch o interactuar directamente con los activos.

Cada activo dispone de una ficha detallada, accesible haciendo clic en el hostname del activo o en el botón de lupa al final de la línea.

La ficha de un activo contiene un conjunto de pestañas que presentan distinta información.

La pestaña “Resumen” permite ver la evolución del número de vulnerabilidades del activo así como información general sobre los problemas de seguridad y las pruebas de cumplimiento realizadas.

La pestaña “Vulnerabilidades” lista todas las vulnerabilidades identificadas en el activo en cuestión. Estas vulnerabilidades se ordenan por defecto según los siguientes criterios: Vulnerabilidad prioritaria > Puntuación CVSS > Nivel de exploit.

Por lo tanto, esta pestaña permite identificar las vulnerabilidades más prioritarias para un activo dado.

El análisis de las vulnerabilidades de un activo se basa principalmente en las aplicaciones reportadas en la pestaña “Tecnologías” del activo.

Los activos también cuentan con una pestaña “Análisis” para consultar el estado de los análisis Cyberwatch. Esta pestaña permite consultar los resultados en bruto de los scripts, así como exportarlos en un archivo de texto.

Este archivo de texto es el que debe enviar a nuestros equipos técnicos si desea una verificación de los resultados reportados por Cyberwatch o explicaciones adicionales.

Caso práctico: análisis de vulnerabilidades de un activo

Mostrar el caso práctico

Este caso práctico describe cómo analizar y comprender los resultados reportados por Cyberwatch en un activo.

  1. Hacer clic en el hostname de un activo para acceder a la ficha del activo a estudiar
  2. Ir a la pestaña “Vulnerabilidades” del activo
  3. Vamos a analizar la primera vulnerabilidad de la lista, cuyo código CVE es CVE-2020-1350
  4. Esta vulnerabilidad, identificada como prioritaria en el activo, tiene una puntuación CVSS de 10 (puntuación máxima), una puntuación EPSS de 94% y está vinculada a la tecnología KB5034119 en el momento de la redacción de esta documentación. Cyberwatch indica que la acción correctiva asociada a esta CVE es “2024-01 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5034119)”. La CVE se corrige por tanto mediante el despliegue de la KB5034119, acumulativa del mes de enero de 2024
  5. Hacer clic en el código de la CVE para ir a la enciclopedia
  6. La puntuación detallada y las métricas CVSS se presentan en la ficha de la CVE-2020-1350
  7. La ficha de la CVE proporciona una descripción del NVD, así como un conjunto de enlaces hacia los diferentes avisos de seguridad identificados por Cyberwatch. El análisis de Cyberwatch se basa principalmente en estos elementos. En caso de duda, los avisos de seguridad del NVD y del proveedor prevalecen en el análisis de los resultados
  8. El conjunto de estos elementos permite comprender por qué una vulnerabilidad determinada se reporta en un activo

Si tiene dudas sobre las vulnerabilidades reportadas o las tecnologías identificadas, no dude en contactar con nuestros equipos técnicos enviando la exportación de los análisis del activo o activos en cuestión.

Análisis de vulnerabilidades identificadas desde la enciclopedia

La Enciclopedia de vulnerabilidades permite consultar todas las vulnerabilidades públicamente listadas y sincronizadas en la base de Cyberwatch.

También ofrece un conjunto de filtros que facilitan la identificación de las vulnerabilidades más prioritarias del parque.

Caso práctico: identificar vulnerabilidades a tratar con prioridad

Este caso práctico explica cómo utilizar la enciclopedia de vulnerabilidades para identificar las vulnerabilidades más importantes del parque y crear una alerta automática que informe de la presencia de nuevas vulnerabilidades que cumplan ciertos criterios.

Mostrar el caso práctico
  1. Ir a la Enciclopedia de vulnerabilidades del software

  2. Con la barra de búsqueda dinámica, seleccionar los siguientes filtros:

    • Estado: Vulnerabilidades prioritarias
    • Catálogo: Todos
    • Severidad: Crítica
  3. Estos filtros permiten destacar las vulnerabilidades más prioritarias identificadas en el parque informático, gracias a su alta puntuación CVSS y su presencia en catálogos de CVE con impacto conocido
  4. Es posible afinar aún más la búsqueda añadiendo filtros adicionales sobre aspectos como la explotabilidad o la presencia en determinados grupos de activos
  5. Si estos filtros no devuelven ningún resultado, significa que su parque informático está protegido frente a las vulnerabilidades más importantes. También puede ampliar la búsqueda eliminando criterios para centrarse en vulnerabilidades menos importantes
  6. Una vez aplicado el filtro, haga clic en “Ediciones masivas > Crear una alerta”. Esto le permitirá definir una alerta automática que envíe por correo electrónico información relativa a las vulnerabilidades que cumplan estos criterios

Comprender y aplicar los parches recomendados

Cyberwatch incorpora un módulo que facilita el despliegue de ciertos parches en los activos escaneados de forma autenticada.

Las vistas presentadas a continuación ofrecen la posibilidad de pedir a Cyberwatch que despliegue parches en los activos. Sin embargo, Cyberwatch no permite el despliegue de todos los parches identificados. Para comprender el funcionamiento y los límites de esta funcionalidad, consulte la documentación sobre el despliegue de parches.

Desde la ficha de un activo

En el caso de un activo con un gran número de vulnerabilidades, la pestaña “Gestión de parches” de ese activo es particularmente interesante, puesto que presenta los parches asociados a todas las vulnerabilidades del activo.

Los parches se ordenan por el número de vulnerabilidades prioritarias que corrigen. Los parches más altos en la lista son generalmente los que deben desplegarse primero en el activo.

Cyberwatch indica también la acción correctiva recomendada por los editores para corregir todas las CVE asociadas a cada parche.

Desde la lista de acciones correctivas

La página de Acciones correctivas lista todas las acciones correctivas disponibles en los activos escaneados por Cyberwatch.

Cada acción correctiva está vinculada a una tecnología que permite corregir (o desplegar, en el caso de las KB de Microsoft). Los elementos se ordenan por defecto por el número de vulnerabilidades prioritarias asociadas.

Esta vista también indica el número de activos afectados por cada acción correctiva.

Caso práctico: autorizar a Cyberwatch a desplegar parches en un conjunto de activos

Si desea automatizar el despliegue de parches que puedan desplegarse, Cyberwatch ofrece la posibilidad de configurar políticas de despliegue automáticas.

El caso práctico siguiente describe cómo configurar dicha opción.

Mostrar el caso práctico

El caso práctico describe cómo crear una política de despliegue de parches. El enfoque para configurar una política de reinicio es idéntico.

  1. Ir al menú Administración y desplegar el recuadro “Gestión de parches” para verificar que la funcionalidad está activada. Activarla si no lo está
  2. Ir al menú Configuración > Políticas de despliegue y reinicio
  3. Hacer clic en el botón “+ Añadir” para crear una nueva política

  4. Seleccionar:

    • Tipo: Política de despliegue
    • Nombre: el nombre deseado, por ejemplo Despliegues semanales los miércoles
    • Período: Recurrencia personalizada; Frecuencia Semanal; y elegir Miércoles
    • Inicio: 22:00; Fin: 06:00
    • Planificación: Auto
  5. Guardar. Se crea una política de despliegue automática que autoriza a Cyberwatch a desplegar parches en los activos todos los miércoles entre las 22:00 y las 06:00
  6. Para aplicarse, esta política aún debe asociarse a activos
  7. Ir al Inventario de activos
  8. Filtrar y seleccionar los activos deseados
  9. Hacer clic en el botón “Ediciones masivas > Modificar la política de despliegue”
  10. Seleccionar la política de despliegue recién creada

Atención, esta política de ejemplo permite a Cyberwatch intentar desplegar automáticamente todos los parches soportados en los activos asociados a la política de despliegue.

Generar informes y exportar datos

Posteriormente, se podrán generar informes sobre estos datos para presentarlos gráficamente y transmitirlos a otros interlocutores que no necesariamente tienen acceso a la aplicación.

Cyberwatch ofrece varios modelos de informes PDF y CSV, así como otros formatos que permiten exportar los datos a sistemas de terceros.

Para generar un informe, consulte la documentación asociada.

Cyberwatch también envía datos a una instancia de Kibana desplegada localmente con el software. Esta instancia de Kibana incorpora paneles diseñados por Cyberwatch y permite la creación de paneles personalizados.

Usar el módulo de cumplimiento

El módulo de cumplimiento de Cyberwatch complementa el análisis de vulnerabilidades mediante la verificación de buenas prácticas de configuración de los activos frente a repositorios de cumplimiento.

Este módulo es opcional y requiere la asociación de repositorios de cumplimiento a probar en los activos; de lo contrario, Cyberwatch no iniciará un análisis de cumplimiento automático.

Cyberwatch ofrece un conjunto de repositorios por defecto, procedentes de entidades de referencia en el ámbito de la seguridad, como el CIS Benchmark y la ANSSI.

Para un uso más avanzado, Cyberwatch permite la creación de repositorios y reglas personalizadas para comprobar elementos descritos, por ejemplo, en la política de seguridad del sistema de información de la empresa.

Para ir más lejos: personalización, automatizaciones e integraciones

Para profundizar en su uso diario de Cyberwatch, ciertos elementos pueden automatizarse con el fin de simplificar la incorporación y clasificación de activos, la integración con herramientas de terceros y la creación de elementos personalizados.

Grupos

Los grupos permiten visualizar la información de conjuntos de activos, categorizarlos, aplicarles acciones masivas y también limitar los permisos de los usuarios a uno o varios grupos.

Integraciones

Para algunas necesidades de integración, recomendamos a nuestros clientes el uso de las integraciones que permiten configurar botones para enviar ciertos datos de Cyberwatch a herramientas externas.

API de Cyberwatch

Para necesidades de automatización, personalización o integraciones más complejas, recomendamos el uso de la API de Cyberwatch.

Reglas de activos

Las reglas de activos permiten implementar reglas con el fin de asignar automáticamente propiedades a los activos.

Ejemplo de uso de una regla de activos

Es posible, por ejemplo, crear una regla de activos que asigne automáticamente un grupo a activos en función de su hostname. Creemos, por ejemplo, una regla que asigne el grupo Desarrollo y la criticidad Baja a los activos cuyo hostname contenga la cadena dev.

  1. Ir al Inventario de activos
  2. Escribir la cadena dev en la barra de búsqueda, sin seleccionar ninguna palabra clave
  3. Hacer clic en el botón “Ediciones masivas > Crear una regla”
  4. La interfaz le redirige al formulario de creación de una regla, con el filtro dev ya rellenado. Asignar un nombre a la regla
  5. Para la acción “Añadir grupos” seleccionar el grupo Desarrollo
  6. Para la acción “Definir la criticidad” seleccionar la criticidad Baja
  7. Guardar la regla, que debería estar activada por defecto
  8. Comprobar que los activos afectados por el filtro reciben automáticamente las propiedades definidas

Los futuros nuevos activos supervisados por Cyberwatch que cumplan las condiciones de la regla serán también modificados automáticamente por la regla de activos.

Soporte técnico

Nuestros equipos, por supuesto, están a su disposición y le acompañan durante toda la duración de sus pruebas o de la puesta en marcha.

Para cualquier cuestión técnica, por favor contacte con el soporte de Cyberwatch:

Volver arriba

English Français Español