Recorrido típico del usuario

Esta página constituye una guía de introducción al uso del software Cyberwatch.

El objetivo es destacar las buenas prácticas que permiten el añadido de activos y la escalabilidad de la aplicación una vez que ha sido desplegada por nuestros equipos.

Esta guía también puede utilizarse como base de trabajo y línea directriz para las pruebas durante un POC (prueba de concepto) del software, por ejemplo.

Despliegue y creación de usuarios

El despliegue de la aplicación está en la mayoría de los casos supervisado por nuestros equipos.

Las configuraciones simples, como la creación del primer usuario y el registro de su licencia, también se realizan durante el despliegue.

La creación de usuarios locales puede hacerse manualmente desde la aplicación, pero recomendamos la configuración de un método de autenticación centralizada utilizando un proveedor de identidad (LDAP, SAML, OpenID Connect).

También es posible configurar un servidor SMTP para el envío de correos electrónicos e informes directamente desde la aplicación.

Estos elementos pueden configurarse tras el despliegue o más adelante.

Hay páginas de documentación específicas y más técnicas disponibles para ayudarle a configurar estos elementos.

Descubrimientos

En una instancia nueva, el primer paso consiste generalmente en lanzar escaneos de descubrimiento.

El objetivo de estos descubrimientos es sacar a la luz los activos presentes en su sistema de información.

Estos activos descubiertos no serán escaneados ni registrados automáticamente en Cyberwatch sin una acción adicional.

Existen muchos tipos de descubrimientos que permiten adaptarse a su sistema de información.

Consulte la documentación de los descubrimientos de activos para comenzar a utilizarlos.

Caso práctico: escaneo de descubrimiento de Active Directory o VMware vSphere

Mostrar el caso práctico

La mayoría de los sistemas de información disponen de soluciones que permiten controlar e inventariar los elementos de infraestructura local que componen el sistema de información.

Tomemos aquí el ejemplo de una conexión de Cyberwatch a herramientas como VMware vSphere y Active Directory para obtener la lista de activos conocidos por estas soluciones.

Para lanzar un escaneo de este tipo, siga el procedimiento a continuación:

  1. Crear una identidad registrada cuyo tipo corresponda al descubrimiento que va a lanzar posteriormente
  2. Crear también una identidad registrada del tipo SSH con contraseña/clave o WinRM con HTTP Negotiate que será utilizada por Cyberwatch para conectarse a sus activos y lanzar un escaneo autenticado
  3. Acceder a la página de creación de un descubrimiento y lanzar un descubrimiento VMware vSphere o Active Directory
  4. Rellenar el formulario con las opciones deseadas. Dejar el campo « Tipo de conexión sin agente » en su valor por defecto: Sin conexión sin agente
  5. Mostrar los activos descubiertos por el escaneo de descubrimiento una vez finalizado
  6. Seleccionar los activos que desea escanear con la casilla de la izquierda, hacer clic en el botón « Acciones agrupadas > Escanear con conexiones sin agente »
  7. Seleccionar el tipo de conexión y la identidad registrada creada previamente y confirmar
  8. Cyberwatch creará las Conexiones sin agente solicitadas e intentará identificarse en los activos con la identidad proporcionada. Las conexiones funcionales mostrarán un icono de escudo verde en la columna « Modo ». También estará presente un icono de calendario, que podrá ser de color verde o amarillo sin impacto en el análisis
  9. Los activos creados tras estos escaneos estarán automáticamente presentes en el inventario de activos de la aplicación

Este caso práctico es un ejemplo clásico de uso de un escaneo de descubrimiento con el objetivo de supervisar activos provenientes de dicho descubrimiento.

Existen muchos otros métodos que permiten obtener resultados similares.

Añadir activos

Una vez que el perímetro de sus activos ha sido establecido mediante los descubrimientos, el siguiente paso consiste en escanear, de manera autenticada, los activos deseados.

Para ello, Cyberwatch ofrece varios métodos de supervisión que permiten adaptarse a las limitaciones de su sistema de información.

Consulte la documentación de presentación de los diferentes modos de escaneo para comprender las funcionalidades relativas a estos modos de escaneo.

Estos escaneos serán utilizados por Cyberwatch para identificar las vulnerabilidades y problemas de seguridad detectados en sus activos.

Implementar mecanismos de priorización

Para priorizar mejor los resultados obtenidos por los escaneos, Cyberwatch ofrece mecanismos que ayudan a definir criterios específicos para su entorno, con el fin de determinar qué vulnerabilidades serán consideradas como prioritarias.

Cyberwatch permite definir y asociar una política de priorización a uno o varios activos. Para obtener detalles sobre el funcionamiento de las políticas de priorización, consulte la documentación de uso de las priorizaciones.

Caso práctico: crear una política de priorización y asociarla a activos

Mostrar el caso práctico

Este caso práctico describe cómo crear una nueva política de priorización y cómo asignarla a activos.

  1. Acceder al menú Ajustes > Políticas de priorización
  2. Crear una nueva política de priorización, rellenando, por ejemplo, los siguientes elementos:
    • Nombre: Crítica
    • Umbral CVSS superior a: 6
    • Puntuación EPSS superior a: 0,1%
    • Seleccionar Marcar prioritarias las vulnerabilidades presentes en cualquier catálogo
    • Establecer los tres requisitos en Alta
  3. Una vez creada la política, acceder al Inventario de activos
  4. Filtrar los activos según un criterio de su elección, por ejemplo, escribiendo prod en la barra de búsqueda, lo que filtrará todos los activos cuyo hostname contenga esa cadena
  5. Seleccionar los activos deseados con la casilla de la izquierda, hacer clic en el botón « Ediciones agrupadas > Modificar la priorización » y seleccionar la política Crítica recién creada

Inventario y análisis de vulnerabilidades identificadas en los activos

Una vez que sus activos están supervisados y se han implementado mecanismos de priorización, Cyberwatch le permitirá identificar las acciones más prioritarias a realizar.

Desde el inventario de activos, podrá consultar todos los activos supervisados, ordenados por defecto por el número de vulnerabilidades prioritarias identificadas.

El inventario permite filtrar sus activos según diferentes criterios, ordenarlos según algunas de las columnas mostradas y seleccionar las columnas visibles.

También hay disponibles un conjunto de ediciones y acciones agrupadas para interactuar con las propiedades de los activos en Cyberwatch o interactuar directamente con los activos.

Cada activo dispone de una ficha detallada, accesible haciendo clic en el hostname del activo o en el botón de lupa al final de la línea.

La ficha de un activo contiene un conjunto de pestañas que presentan diferentes informaciones.

La pestaña « Resumen » permite ver la evolución del número de vulnerabilidades del activo así como información general sobre los defectos de seguridad y pruebas de cumplimiento realizadas.

La pestaña « Vulnerabilidades » lista todas las vulnerabilidades identificadas en el activo en cuestión. Estas vulnerabilidades se ordenan por defecto según los siguientes criterios: Vulnerabilidad prioritaria > Score CVSS > Nivel del exploit.

Esta pestaña le permite identificar las vulnerabilidades más prioritarias para un activo en particular.

El análisis de las vulnerabilidades de un activo se basa especialmente en las aplicaciones detectadas en la pestaña « Tecnologías » del activo.

Los activos también disponen de una pestaña « Análisis » para consultar el estado de los análisis de Cyberwatch. Esta pestaña permite consultar el resultado bruto de los scripts, así como exportar estos resultados a un archivo de texto.

Es este archivo de texto el que debe enviar a nuestros equipos técnicos si desea una verificación de los resultados reportados por Cyberwatch o explicaciones adicionales.

Caso práctico: análisis de vulnerabilidades de un activo

Mostrar el caso práctico

Este caso práctico describe cómo analizar y comprender los resultados reportados por Cyberwatch sobre un activo.

  1. Hacer clic en el hostname de un activo para acceder a la ficha del activo a estudiar
  2. Acceder a la pestaña « Vulnerabilidades » del activo
  3. Vamos a analizar la primera vulnerabilidad de la lista, cuyo código CVE es CVE-2020-1350 en nuestro caso
  4. Esta vulnerabilidad, identificada como prioritaria en el activo, tiene un score CVSS de 10 (puntuación máxima), un score EPSS de 94% y está vinculada a la tecnología KB5034119 en el momento de la redacción de esta documentación. Cyberwatch indica que la acción correctiva asociada a esta CVE es « 2024-01 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5034119) ». Por tanto, la CVE se corrige mediante el despliegue de la KB5034119, acumulativa de enero de 2024
  5. Hacer clic en el código de la CVE para acceder a la enciclopedia
  6. El score detallado y las métricas CVSS se presentan en la ficha de la CVE-2020-1350
  7. La ficha de la CVE proporciona una descripción procedente del NVD, así como un conjunto de enlaces a los diferentes avisos de seguridad identificados por Cyberwatch. El análisis de Cyberwatch se basa especialmente en estos elementos. En caso de duda, los avisos de seguridad del NVD y del proveedor son los que prevalecen en el análisis de los resultados.
  8. Todos estos elementos permiten comprender por qué una vulnerabilidad determinada es reportada en un activo.

Si tiene dudas sobre las vulnerabilidades reportadas o las tecnologías identificadas, no dude en contactar con nuestros equipos técnicos enviándonos la exportación de los análisis del o de los activos en cuestión.

Análisis de vulnerabilidades identificadas desde la enciclopedia

La Enciclopedia de vulnerabilidades permite consultar todas las vulnerabilidades públicamente registradas y sincronizadas en la base de Cyberwatch.

Además, ofrece un conjunto de filtros que facilitan la identificación de las vulnerabilidades más prioritarias del parque.

Caso práctico: identificar vulnerabilidades a tratar con prioridad

Este caso práctico explica cómo utilizar la enciclopedia de vulnerabilidades para identificar las vulnerabilidades más importantes del parque y crear una alerta automática que informe de la presencia de nuevas vulnerabilidades que cumplan ciertos criterios.

Mostrar el caso práctico
  1. Acceder a la Enciclopedia de vulnerabilidades del software

  2. Utilizando la barra de búsqueda dinámica, seleccionar los siguientes filtros:

    • Estado: vulnerabilidades prioritarias
    • Catálogo: todos
    • Severidad: crítica
  3. Estos filtros permiten destacar las vulnerabilidades más prioritarias identificadas en el parque informático, a través de su score CVSS elevado y su presencia en catálogos conocidos de CVE con impacto
  4. Es posible afinar aún más la búsqueda, añadiendo filtros adicionales sobre aspectos como la explotabilidad o la pertenencia a ciertos grupos de activos
  5. Si estos filtros no devuelven ningún resultado, significa que su parque informático está protegido frente a estas vulnerabilidades más importantes. También puede ampliar la búsqueda eliminando criterios para poder centrarse en vulnerabilidades menos importantes
  6. Una vez aplicado el filtro, hacer clic en « Ediciones agrupadas > Crear una alerta ». Esto le permitirá definir una alerta automática que enviará por correo electrónico información relativa a las vulnerabilidades que cumplan estos criterios

Comprender y aplicar los parches recomendados

Cyberwatch incorpora un módulo que facilita el despliegue de ciertos parches en los activos escaneados de forma autenticada.

Las vistas presentadas a continuación ofrecen todas la posibilidad de solicitar a Cyberwatch el despliegue de parches en los activos. Sin embargo, Cyberwatch no permite el despliegue de todos los parches identificados. Para comprender el funcionamiento y los límites de esta funcionalidad, consulte la documentación sobre el despliegue de parches.

Desde la ficha de un activo

En el caso de un activo con un gran número de vulnerabilidades, la pestaña « Gestión de parches » de ese activo es especialmente interesante, ya que presenta los parches asociados a todas las vulnerabilidades del activo.

Los parches se ordenan por el número de vulnerabilidades prioritarias que corrigen. Los parches más altos en la lista son, por tanto, generalmente los que hay que desplegar en prioridad en el activo.

Cyberwatch también le indica la acción correctiva recomendada por los editores para corregir todas las CVE asociadas a cada parche.

Desde la lista de acciones correctivas

La página de Acciones correctivas lista todas las acciones correctivas disponibles en los activos escaneados por Cyberwatch.

Cada acción correctiva está vinculada a una tecnología que permite corregir (o desplegar en el caso de las KB de Microsoft). Los elementos se ordenan por defecto por el número de vulnerabilidades prioritarias asociadas.

Esta vista también indica el número de activos afectados por cada acción correctiva.

Caso práctico: autorizar a Cyberwatch a desplegar parches en un conjunto de activos

Si desea automatizar el despliegue de parches que pueden serlo, Cyberwatch ofrece la posibilidad de configurar políticas de despliegue automáticas.

El caso práctico siguiente describe cómo configurar dicha política.

Mostrar el caso práctico

El caso práctico describe cómo crear una política de despliegue de parches. El enfoque para configurar una política de reinicio es estrictamente idéntico.

  1. Acceder al menú Administración y desplegar el apartado « Gestión de parches » para verificar que la funcionalidad está activada. Activarla si no lo está
  2. Acceder al menú Ajustes > Políticas de despliegue y reinicio
  3. Hacer clic en el botón « + Añadir » para crear una nueva política

  4. Seleccionar:

    • Tipo: Política de despliegue
    • Nombre: el nombre deseado, por ejemplo Despliegues semanales los miércoles
    • Periodo: Recurrencia personalizada; Frecuencia Todas las semanas; y elegir Miércoles
    • Inicio: 22:00; Fin: 06:00
    • Planificación: Auto
  5. Guardar. Se crea así una política de despliegue automático que autoriza a Cyberwatch a desplegar los parches en los activos todos los miércoles entre las 22:00 y las 06:00.
  6. Para aplicarse, esta política debe aún asociarse a activos
  7. Acceder al Inventario de activos
  8. Filtrar y seleccionar los activos deseados
  9. Hacer clic en el botón « Ediciones agrupadas > Modificar la política de despliegue »
  10. Seleccionar la política de despliegue recién creada

Atención, esta política de ejemplo permite a Cyberwatch intentar desplegar automáticamente todos los parches soportados en los activos asociados a la política de despliegue.

Generar informes y exportar datos

Posteriormente, podrán generarse informes sobre estos datos, con el fin de presentarlos gráficamente y poder transmitirlos a otros interlocutores que no tengan necesariamente acceso a la aplicación.

Cyberwatch ofrece varios modelos de informes en PDF y CSV, así como otros formatos que permiten la exportación de datos a sistemas externos.

Para generar un informe, consulte la documentación asociada.

Cyberwatch también envía datos a una instancia de Kibana desplegada localmente con el software. Esta instancia de Kibana incluye paneles preconfigurados por Cyberwatch y permite la creación de paneles personalizados.

Usar el módulo de cumplimiento

El módulo de cumplimiento de Cyberwatch complementa el análisis de vulnerabilidades mediante la verificación de buenas prácticas de configuración de los activos respecto a repositorios de seguridad.

Este módulo es opcional y requiere la asociación de repositorios a probar en los activos, de lo contrario Cyberwatch no lanzará ningún análisis de cumplimiento automático.

Cyberwatch ofrece un conjunto de repositorios por defecto, procedentes de entidades de referencia en el ámbito de la seguridad informática, como el CIS Benchmark y la ANSSI.

Cyberwatch permite, para un uso más avanzado, la creación de repositorios y reglas personalizadas para verificar elementos descritos en la política de seguridad del sistema de información de la empresa, por ejemplo.

Para ir más lejos: personalización, automatizaciones e integraciones

Para ir más lejos en su uso diario de Cyberwatch, algunos elementos pueden automatizarse, con el objetivo de simplificar el añadido y la clasificación de activos, la integración con herramientas externas, la creación de elementos personalizados…

Grupos

Los grupos permiten visualizar la información de conjuntos de activos, clasificarlos y aplicarles acciones agrupadas.

Proyectos

Los proyectos permiten definir ámbitos funcionales u organizativos dentro de Cyberwatch. Se utilizan especialmente para gestionar los permisos de los usuarios restringiendo la visibilidad y las acciones a activos específicos o conjuntos de activos.

Integraciones

Para algunas necesidades de integración, recomendamos a nuestros clientes el uso de las integraciones que permiten configurar botones para enviar ciertos datos de Cyberwatch a herramientas externas.

API de Cyberwatch

Para algunas necesidades de automatización, personalización o integraciones más complejas, recomendamos el uso de la API de Cyberwatch.

Reglas de activos

Las reglas de activos permiten establecer reglas con el objetivo de atribuir automáticamente propiedades a activos.

Ejemplo de uso de una regla de activos

Es posible, por ejemplo, crear una regla de activos que asigne automáticamente un grupo a activos según el hostname de los mismos. Por ejemplo, creemos una regla que asigne el grupo Desarrollo y la política de priorización Baja a los activos cuyo hostname contenga la cadena dev.

  1. Acceder al Inventario de activos
  2. Escribir la cadena dev en la barra de búsqueda, sin seleccionar ninguna palabra clave
  3. Hacer clic en el botón « Ediciones agrupadas > Crear una regla »
  4. La interfaz le redirige al formulario de creación de una regla, con el filtro dev ya rellenado. Nombrar la regla
  5. Para la acción « Añadir los grupos » seleccionar el grupo Desarrollo
  6. Para la acción « Definir la priorización » seleccionar la política de priorización Baja
  7. Guardar la regla, que debe estar activada por defecto
  8. Comprobar que los activos afectados por el filtro reciben las propiedades definidas

Los futuros nuevos activos supervisados por Cyberwatch que cumplan las condiciones de la regla también serán modificados automáticamente por la regla de activos.

Soporte técnico

Nuestros equipos están, por supuesto, a su disposición y le acompañan durante toda la duración de sus pruebas o escalabilidad.

Para cualquier pregunta técnica, por favor contacte con el soporte de Cyberwatch:

Volver arriba

English Français Español