Esta evoluci\u00f3n de marca refleja cambios organizacionales y una alineaci\u00f3n estrat\u00e9gica en el mercado de la ciberseguridad, manteniendo la continuidad y el reconocimiento del producto USM Anywhere como una plataforma central.<\/p>\n
Fundamentalmente, USM Anywhere se ofrece como una soluci\u00f3n Software-as-a-Service (SaaS).<\/p>\n
Este modelo implica que LevelBlue gestiona la infraestructura subyacente, incluyendo el hardware, el software base, las actualizaciones de la plataforma y el mantenimiento continuo, todo ello operado desde su LevelBlue Secure Cloud.<\/p>\n
Esta aproximaci\u00f3n contrasta con soluciones tradicionales on-premises, como la variante USM Appliance 2, liberando a los equipos de TI de los clientes de una carga operativa significativa.<\/p>\n
La naturaleza SaaS de USM Anywhere no solo facilita una implementaci\u00f3n m\u00e1s r\u00e1pida, sino que tambi\u00e9n asegura que la plataforma se mantenga actualizada con las \u00faltimas capacidades y parches de seguridad sin intervenci\u00f3n directa del cliente.<\/p>\n
Esta tendencia hacia soluciones de seguridad gestionadas en la nube ofrece ventajas inherentes de escalabilidad, permitiendo a las organizaciones ajustar sus recursos de seguridad seg\u00fan sus necesidades cambiantes, y una reducci\u00f3n en la complejidad de la gesti\u00f3n de la infraestructura de seguridad.<\/p>\n
La adopci\u00f3n de un modelo SaaS para una plataforma de seguridad tan completa como USM Anywhere es indicativa de un movimiento m\u00e1s amplio en la industria.<\/p>\n
Las organizaciones buscan cada vez m\u00e1s soluciones que minimicen la sobrecarga administrativa y permitan a sus equipos de seguridad centrarse en la detecci\u00f3n, an\u00e1lisis y respuesta a amenazas, en lugar de en el mantenimiento de la infraestructura.<\/p>\n
USM Anywhere, por lo tanto, se posiciona como una oferta estrat\u00e9gica que responde a la creciente demanda de capacidades de seguridad avanzadas entregadas de una manera eficiente y flexible a trav\u00e9s de la nube.<\/p>\n
Descripci\u00f3n General de la Plataforma<\/strong> (SIEM\/XDR)USM Anywhere se define como una plataforma unificada de gesti\u00f3n de seguridad (Unified Security Management – USM) que integra de forma nativa capacidades de Gesti\u00f3n de Informaci\u00f3n y Eventos de Seguridad (SIEM) y de Detecci\u00f3n y Respuesta Extendidas (XDR).<\/p>\n Esto significa que no solo centraliza y analiza logs como un SIEM tradicional, sino que tambi\u00e9n incorpora funcionalidades avanzadas de detecci\u00f3n en m\u00faltiples capas (red, endpoint, nube) y facilita la respuesta a incidentes, caracter\u00edsticas propias de una soluci\u00f3n XDR.<\/p>\n Una de las caracter\u00edsticas m\u00e1s destacadas de USM Anywhere es su capacidad para proporcionar visibilidad unificada a trav\u00e9s de entornos tecnol\u00f3gicos heterog\u00e9neos.<\/p>\n La plataforma est\u00e1 dise\u00f1ada para monitorizar infraestructuras completamente en la nube (AWS, Azure, GCP), entornos on-premises (virtuales y f\u00edsicos) y arquitecturas h\u00edbridas que combinan ambos mundos, todo ello desde una \u00fanica consola de gesti\u00f3n basada en web, com\u00fanmente referida como “single pane of glass”.<\/p>\n Esta visi\u00f3n centralizada es crucial para las organizaciones modernas, cuyas infraestructuras suelen estar distribuidas y ser complejas, ayudando a eliminar los puntos ciegos de seguridad que pueden surgir al utilizar herramientas de monitorizaci\u00f3n aisladas para diferentes segmentos del entorno TI.<\/p>\n La plataforma ha sido concebida pensando especialmente en equipos de seguridad que operan con recursos limitados, ya sea en t\u00e9rminos de personal, presupuesto o tiempo.<\/p>\n El objetivo es ofrecer una soluci\u00f3n robusta y con m\u00faltiples capacidades, pero que sea m\u00e1s asequible, r\u00e1pida de implementar y f\u00e1cil de utilizar en comparaci\u00f3n con el despliegue y la integraci\u00f3n de m\u00faltiples soluciones de seguridad empresariales especializadas.<\/p>\n La simplificaci\u00f3n de la gesti\u00f3n de la seguridad, sin comprometer la profundidad de las capacidades, es un valor fundamental de USM Anywhere.<\/p>\n Capacidades Esenciales Unificadas<\/strong><\/p>\n La fortaleza de USM Anywhere radica en la integraci\u00f3n nativa de m\u00faltiples capacidades de seguridad esenciales en una \u00fanica plataforma. Esta unificaci\u00f3n simplifica la gesti\u00f3n, mejora la correlaci\u00f3n de datos y reduce la necesidad de que los equipos de seguridad gestionen e integren diversas herramientas puntuales.<\/p>\n Las capacidades clave incluyen: Los logs son normalizados a un formato com\u00fan, enriquecidos con contexto adicional, correlacionados para identificar patrones de amenaza y almacenados de forma segura para an\u00e1lisis forense, investigaci\u00f3n de incidentes y cumplimiento normativo.<\/p>\n Descubrimiento de Activos (Asset Discovery):<\/strong> USM Anywhere identifica y cataloga continuamente los activos conectados a la red y presentes en los entornos cloud.<\/p>\n Utiliza m\u00faltiples m\u00e9todos, incluyendo escaneos de red, integraci\u00f3n con APIs de proveedores cloud (AWS, Azure, GCP) y descubrimiento a trav\u00e9s de logs, para mantener un inventario de activos actualizado y completo, lo cual es fundamental para asegurar una cobertura de monitorizaci\u00f3n exhaustiva. Network Intrusion Detection System (NIDS):<\/strong> Monitoriza el tr\u00e1fico de red en busca de firmas de ataques conocidos y actividad maliciosa. Detecci\u00f3n y Respuesta en Endpoints (EDR):<\/strong> A trav\u00e9s de los agentes LevelBlue desplegados en los endpoints, USM Anywhere proporciona capacidades de EDR.<\/p>\n Esto incluye la detecci\u00f3n de amenazas avanzadas en el host, la monitorizaci\u00f3n de la integridad de archivos (FIM) para detectar cambios no autorizados en ficheros cr\u00edticos, y la capacidad de ejecutar acciones de respuesta directamente en el endpoint.<\/p>\n Monitorizaci\u00f3n del Comportamiento (Behavioral Monitoring):<\/strong> Analiza los logs de acceso, la actividad de los usuarios (User Behavior Analytics – UBA) y otros eventos para establecer una l\u00ednea base del comportamiento normal y detectar desviaciones o patrones an\u00f3malos.<\/p>\n Esto es \u00fatil para identificar amenazas internas, cuentas comprometidas o ataques desconocidos que no coinciden con firmas predefinidas.<\/p>\n Inteligencia de Amenazas Continua:<\/strong> La plataforma se actualiza constantemente con la inteligencia de amenazas m\u00e1s reciente proporcionada por el equipo de investigaci\u00f3n de LevelBlue Labs<\/strong> y la comunidad global de Open Threat Exchange<\/strong> (OTX).<\/p>\n Estas actualizaciones incluyen nuevas reglas de correlaci\u00f3n, firmas de IDS, indicadores de compromiso (IOCs) y contexto sobre amenazas emergentes. Para las organizaciones, especialmente aquellas con equipos de seguridad m\u00e1s peque\u00f1os o con recursos limitados, adoptar USM Anywhere<\/strong> puede significar una reducci\u00f3n considerable en la complejidad y los costos asociados con la adquisici\u00f3n, implementaci\u00f3n, integraci\u00f3n y mantenimiento de m\u00faltiples herramientas de seguridad de diferentes proveedores.<\/p>\n Este enfoque unificado no solo simplifica las operaciones diarias, sino que tambi\u00e9n mejora la capacidad de correlacionar informaci\u00f3n de diversas fuentes, lo que lleva a una detecci\u00f3n de amenazas m\u00e1s r\u00e1pida y precisa y a una respuesta a incidentes m\u00e1s eficaz.<\/p>\n Arquitectura de Dos Niveles<\/strong><\/p>\n USM Anywhere<\/strong> se basa en una arquitectura modular y escalable de dos niveles, dise\u00f1ada para optimizar la recolecci\u00f3n de datos en entornos distribuidos y centralizar el an\u00e1lisis y la gesti\u00f3n en la nube.<\/p>\n Esta estructura es fundamental para su capacidad de monitorizar eficazmente infraestructuras h\u00edbridas.<\/p>\n Nivel 1 – Recolecci\u00f3n (Sensores y Agentes):<\/strong> Este nivel comprende los componentes que se despliegan directamente en los entornos del cliente. Su funci\u00f3n principal es la recolecci\u00f3n de datos de seguridad (logs, tr\u00e1fico de red, actividad de endpoints), la normalizaci\u00f3n inicial de estos datos a un formato com\u00fan y su env\u00edo seguro hacia el Nivel 2 para su procesamiento.<\/p>\n Los sensores USM Anywhere se instalan en puntos estrat\u00e9gicos de la red o en plataformas de virtualizaci\u00f3n\/cloud, mientras que los agentes LevelBlue se instalan en hosts individuales.<\/p>\n Nivel 2 – Procesamiento Central (LevelBlue Secure Cloud):<\/strong> Este es el n\u00facleo de la plataforma USM Anywhere y reside en la nube, espec\u00edficamente en infraestructuras de Amazon Web Services (AWS) distribuidas en diversas regiones geogr\u00e1ficas para optimizar la latencia y cumplir con requisitos de residencia de datos.<\/p>\n Aqu\u00ed es donde los datos enviados por los sensores y agentes son recibidos para su an\u00e1lisis avanzado, correlaci\u00f3n de eventos, detecci\u00f3n de amenazas, generaci\u00f3n de alarmas, gesti\u00f3n de vulnerabilidades, almacenamiento a largo plazo y generaci\u00f3n de informes.<\/p>\n Es importante destacar que, aunque la plataforma es multi-tenant, los datos de cada cliente se mantienen en contenedores dedicados y aislados para garantizar la privacidad y seguridad.<\/p>\n Esta arquitectura de dos niveles ofrece varias ventajas significativas. Permite que la recolecci\u00f3n de datos se realice lo m\u00e1s cerca posible de las fuentes, abarcando una amplia gama de entornos (on-premises, m\u00faltiples nubes p\u00fablicas).<\/p>\n Al mismo tiempo, descarga las tareas de procesamiento intensivo, an\u00e1lisis complejo y almacenamiento masivo a la infraestructura escalable y robusta de la nube.<\/p>\n Esto no solo optimiza el rendimiento, sino que tambi\u00e9n facilita la gesti\u00f3n centralizada de la seguridad en toda la organizaci\u00f3n, independientemente de la dispersi\u00f3n geogr\u00e1fica o la complejidad de su infraestructura TI. La capacidad de monitorizar entornos h\u00edbridos de manera cohesiva es un resultado directo de este dise\u00f1o arquitect\u00f3nico.<\/p>\n Los sensores USM Anywhere<\/strong> son componentes vitales de la arquitectura de la plataforma, actuando como los principales recolectores y procesadores de datos en los entornos monitorizados.<\/p>\n Su rol es multifac\u00e9tico e incluye: Existe una variante espec\u00edfica para AWS GovCloud. Dispone de una plantilla para GCP Gov. Se utiliza el protocolo TLS 1.2 para cifrar los datos en tr\u00e1nsito, y cada sensor genera un certificado \u00fanico para autenticarse y establecer esta comunicaci\u00f3n segura con el servicio en la nube.<\/p>\n Esto garantiza la confidencialidad e integridad de los datos de seguridad mientras viajan desde el entorno del cliente hasta la plataforma de an\u00e1lisis central.<\/p>\n Los Agentes LevelBlue (tambi\u00e9n referidos como USM Anywhere Agents) son un componente de software ligero, basado en la tecnolog\u00eda osquery, que se instala directamente en los endpoints individuales (servidores y estaciones de trabajo) que ejecutan sistemas operativos Windows, Linux o macOS.<\/p>\n Estos agentes extienden las capacidades de detecci\u00f3n y respuesta de USM Anywhere hasta el nivel del host, proporcionando una visibilidad m\u00e1s granular y capacidades de acci\u00f3n directa que complementan la monitorizaci\u00f3n basada en sensores de red.<\/p>\n Las funciones principales de los Agentes LevelBlue incluyen 5: Esto simplifica el despliegue en entornos donde un sensor de red podr\u00eda no ser pr\u00e1ctico, como en endpoints remotos o m\u00f3viles.<\/p>\n Adem\u00e1s, los agentes est\u00e1n dise\u00f1ados para almacenar datos en cach\u00e9 localmente si la conexi\u00f3n con la nube USM Anywhere se interrumpe temporalmente, asegurando que no se pierdan eventos de seguridad importantes durante periodos de desconexi\u00f3n.<\/p>\n La incorporaci\u00f3n de agentes con capacidades EDR nativas es un paso significativo que alinea a USM Anywhere con el concepto de XDR (Extended Detection and Response).<\/p>\n Al extender la visibilidad y la capacidad de respuesta m\u00e1s all\u00e1 de la red y hacia los endpoints, la plataforma puede abordar de manera m\u00e1s efectiva el ciclo de vida completo de un ataque.<\/p>\n Esto es particularmente relevante para la detecci\u00f3n de amenazas modernas como el ransomware, que a menudo se dirige a los endpoints, y los ataques fileless (sin archivos), que operan en la memoria del sistema y pueden evadir las defensas tradicionales basadas en firmas.<\/p>\n La telemetr\u00eda rica y las capacidades de respuesta en el endpoint proporcionadas por los agentes son cruciales para combatir estas t\u00e1cticas evasivas.<\/p>\n La efectividad de cualquier plataforma SIEM\/XDR depende en gran medida de la calidad y actualidad de su inteligencia de amenazas.<\/p>\n En un panorama donde las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTPs) de los atacantes evolucionan constantemente, contar con informaci\u00f3n actualizada sobre nuevas vulnerabilidades, exploits, indicadores de compromiso (IOCs) y campa\u00f1as de ataque es fundamental para una detecci\u00f3n proactiva y una respuesta eficaz.<\/p>\n USM Anywhere integra inteligencia de amenazas de dos fuentes principales, que se actualizan continuamente para mantener la plataforma al d\u00eda:<\/p>\n LevelBlue Labs Security Research Team:<\/strong> Este es el equipo de investigaci\u00f3n interno de LevelBlue, compuesto por expertos en ciberseguridad dedicados a analizar el panorama global de amenazas.<\/p>\n Su trabajo incluye la investigaci\u00f3n de nuevas vulnerabilidades, el an\u00e1lisis de malware, el seguimiento de campa\u00f1as de ataque y la identificaci\u00f3n de TTPs emergentes. Los resultados de esta investigaci\u00f3n se traducen en actualizaciones directas para la plataforma USM Anywhere.<\/p>\n Estas actualizaciones pueden incluir:<\/p>\n Reglas de Correlaci\u00f3n:<\/strong> L\u00f3gica que identifica patrones de eventos complejos indicativos de un ataque. Adem\u00e1s, LevelBlue Labs proporciona orientaci\u00f3n contextual sobre c\u00f3mo responder a las amenazas detectadas, ayudando a los equipos de seguridad a priorizar y remediar incidentes de manera m\u00e1s eficiente.<\/p>\n Open Threat Exchange (OTX)<\/strong>: Descrita como la comunidad de intercambio de inteligencia de amenazas abierta y colaborativa m\u00e1s grande del mundo, OTX cuenta con m\u00e1s de 80,000 participantes en m\u00e1s de 140 pa\u00edses que comparten m\u00e1s de 3 millones de indicadores de amenaza diariamente.<\/p>\n USM Anywhere se integra directamente con OTX, consumiendo “pulsos” de OTX, que son colecciones de IOCs relacionados con amenazas espec\u00edficas o campa\u00f1as de ataque.<\/p>\n Estos IOCs pueden incluir hashes de malware, dominios maliciosos, URLs de phishing, direcciones IP de comando y control (C2), entre otros.<\/p>\n La plataforma tambi\u00e9n utiliza los datos de reputaci\u00f3n IP de OTX para enriquecer los eventos. Si un evento involucra una direcci\u00f3n IP con mala reputaci\u00f3n, USM Anywhere puede aumentar la prioridad de la alarma asociada, ayudando a los analistas a centrarse en las amenazas m\u00e1s probables.<\/p>\n Para una integraci\u00f3n completa y para contribuir a la comunidad (opcional), se recomienda configurar USM Anywhere con una clave API de OTX durante la configuraci\u00f3n inicial del sistema.<\/p>\n Esta doble fuente de inteligencia de amenazas (la investigaci\u00f3n curada de LevelBlue Labs<\/strong> y la inteligencia masiva y diversa de la comunidad OTX) proporciona a USM Anywhere<\/strong> una base s\u00f3lida para la detecci\u00f3n de una amplia gama de amenazas, desde las m\u00e1s conocidas hasta las emergentes.<\/p>\n E. BlueApps y el Ecosistema de Integraci\u00f3nLas BlueApps son un componente clave de la estrategia de USM Anywhere para extender sus capacidades y facilitar la integraci\u00f3n con el ecosistema de seguridad y TI existente de una organizaci\u00f3n.<\/p>\n Se definen como m\u00f3dulos de software o conectores que permiten a USM Anywhere interactuar con una amplia variedad de herramientas de terceros, tanto para la ingesta de datos como para la orquestaci\u00f3n de acciones de respuesta.<\/p>\n Las funciones principales de las BlueApps incluyen: Productividad y Colaboraci\u00f3n:<\/strong> Microsoft Office 365, Google G Suite. A trav\u00e9s de la BlueApp para Cisco Umbrella, USM Anywhere podr\u00eda enviar autom\u00e1ticamente la direcci\u00f3n IP de ese servidor C2 a Umbrella para que esta bloquee todas las futuras comunicaciones hacia y desde ese dominio o IP en toda la organizaci\u00f3n.<\/p>\n La filosof\u00eda detr\u00e1s de BlueApps es posicionar a USM Anywhere como una plataforma XDR “abierta”.<\/p>\n En lugar de ofrecer un sistema cerrado que obliga a los clientes a reemplazar todas sus herramientas existentes, USM Anywhere busca integrarse con ellas.<\/p>\n Este enfoque permite a las organizaciones maximizar el valor de sus inversiones previas en seguridad y, al mismo tiempo, aprovechar las capacidades de an\u00e1lisis centralizado y orquestaci\u00f3n de USM Anywhere.<\/p>\n Facilita la creaci\u00f3n de flujos de trabajo de respuesta a incidentes m\u00e1s coherentes y automatizados que pueden abarcar m\u00faltiples productos de diferentes proveedores, mejorando significativamente la eficiencia y la eficacia de las operaciones de seguridad.III. Gu\u00eda de Instalaci\u00f3n y Despliegue<\/p>\n El despliegue inicial de USM Anywhere sigue un proceso general estructurado en cuatro tareas b\u00e1sicas, independientemente de la plataforma espec\u00edfica elegida para el sensor:<\/p>\n Recepci\u00f3n del Enlace del Sensor y C\u00f3digo de Activaci\u00f3n:<\/strong> Tras el registro en USM Anywhere, el usuario recibe un enlace para acceder a la plantilla o imagen del sensor correspondiente a su entorno y un c\u00f3digo de activaci\u00f3n. Los c\u00f3digos de activaci\u00f3n son cruciales en este proceso.<\/p>\n Para el primer sensor desplegado, se utiliza un c\u00f3digo inicial (que suele comenzar con “C”) proporcionado por LevelBlue. Este c\u00f3digo no solo activa el sensor, sino que tambi\u00e9n aprovisiona la nueva instancia de USM Anywhere en la nube, definiendo atributos como el n\u00famero de sensores permitidos, la capacidad de almacenamiento y la cuenta de correo electr\u00f3nico del usuario administrador inicial.<\/p>\n Para sensores adicionales que se a\u00f1adan posteriormente a una instancia ya existente, se deben generar nuevos c\u00f3digos de activaci\u00f3n (que suelen comenzar con “S”) desde la interfaz web de USM Anywhere.37Antes de iniciar el despliegue, es fundamental cumplir con ciertos prerrequisitos generales: Conectividad a Internet:<\/strong> Los sensores USM Anywhere deben tener conectividad a Internet para comunicarse con la instancia de USM Anywhere en LevelBlue Secure Cloud.<\/p>\n Esta comunicaci\u00f3n es esencial para enviar datos, recibir actualizaciones de inteligencia de amenazas y actualizaciones de software del sensor. La p\u00e1gina oficial de descarga de los sensores USM Anywhere se encuentra en el sitio web de LevelBlue (anteriormente AT&T Cybersecurity).<\/p>\n Desde esta p\u00e1gina, los usuarios pueden acceder a las im\u00e1genes o plantillas de los sensores para las diversas plataformas soportadas, as\u00ed como a las gu\u00edas de despliegue detalladas y las gu\u00edas de inicio r\u00e1pido (Quick Start Guides).<\/p>\n Es crucial que los usuarios planifiquen la infraestructura necesaria antes del despliegue, asegur\u00e1ndose de que los recursos asignados cumplan o superen los requisitos m\u00ednimos para un rendimiento \u00f3ptimo.<\/p>\n La siguiente tabla resume los requisitos de sistema para los sensores USM Anywhere en las principales plataformas, extra\u00eddos de la documentaci\u00f3n oficial:<\/p>\n Tabla: Requisitos de Sistema para Sensores USM Anywhere Plataformav CPU\/Cores M\u00ednimosRAM M\u00ednima<\/p>\n Almacenamiento Ra\u00edz<\/p>\n Almacenamiento de Datos<\/p>\n Notas Espec\u00edficasFuentesAWS2 (m5.large)8 GB(Incluido en AMI)100 GB EBS<\/p>\n Instancia m5.large en VPC recomendada.<\/p>\n Anteriormente m3.large en EC2-Classic.<\/p>\n Volumen EBS para almacenamiento temporal de datos procesados.<\/p>\n Azure2 (D2 Standard)7 GB(Incluido en Imagen)12 GBInstancia D2 Standard o DS2 Standard.43GCP2 (n1-standard-2)7.5 GB50 GB Zonal SSD128 GB Zonal SSDInstancia n1-standard-2.<\/p>\n Discos persistentes SSD zonales para rendimiento \u00f3ptimo.<\/p>\n No soporta despliegue en VPC compartida.41VMware412 GB50 GB100 GB<\/p>\n Memoria dedicada a la VM. VMware ESXi 5.1 o posterior (ESXi 6.5+ recomendado en 5).5Hyper-V412 GB50 GB100 GBMemoria dedicada a la VM. Windows Server 2012 R2 o posterior con rol Hyper-V.<\/p>\n Cumplir con estos requisitos es un paso fundamental para una instalaci\u00f3n exitosa y un funcionamiento estable del sensor. Una infraestructura subdimensionada puede llevar a problemas de rendimiento, p\u00e9rdida de eventos o fallos en las funcionalidades del sensor.<\/p>\n El proceso espec\u00edfico de despliegue de un sensor USM Anywhere var\u00eda seg\u00fan la plataforma de destino. A continuaci\u00f3n, se resumen los pasos clave para cada entorno principal:<\/p>\n VMware:<\/strong><\/p>\n Descargar el archivo OVF (Open Virtualization Format) del sensor VMware desde la p\u00e1gina de descargas de LevelBlue. Descargar la imagen del disco duro virtual (VHD o VHDX) del sensor Hyper-V. Obtener la URL del CloudFormation Template proporcionada por LevelBlue.<\/p>\n En la consola de AWS, utilizar el CloudFormation Template para desplegar la pila del sensor. Esto crear\u00e1 autom\u00e1ticamente los recursos necesarios, incluyendo la instancia EC2 (tipo m5.large o similar), el volumen EBS y los grupos de seguridad.<\/p>\n Asegurar que los grupos de seguridad permitan el tr\u00e1fico necesario para la configuraci\u00f3n y operaci\u00f3n del sensor (TCP 80 para setup inicial, TCP 443, TCP 7100, UDP 514, etc.).<\/p>\n Una vez la pila est\u00e9 creada y la instancia en ejecuci\u00f3n, obtener la URL p\u00fablica o IP de la instancia. La forma m\u00e1s sencilla es desplegar el sensor directamente desde Azure Marketplace.<\/p>\n Buscar “AlienVault USM Anywhere” o “LevelBlue USM Anywhere”. Es necesario crear un App Registration (Registro de Aplicaci\u00f3n) en Azure Active Directory y obtener las credenciales (Application ID, Directory ID, Client Secret) para que el sensor pueda interactuar con las APIs de Azure y recolectar logs (ej. Azure Monitor, Azure Diagnostics).<\/p>\n Alternativamente, para regiones no soportadas directamente o para un control m\u00e1s granular, se puede realizar un despliegue manual:<\/p>\n Descargar la imagen VHD del sensor Azure. Una vez la VM del sensor est\u00e9 en ejecuci\u00f3n, acceder a su IP p\u00fablica v\u00eda web para registrarla con el c\u00f3digo de activaci\u00f3n.<\/p>\n Preparar el entorno GCP, asegurando los permisos necesarios para el usuario que realizar\u00e1 el despliegue. Esta plantilla automatiza la creaci\u00f3n de los recursos requeridos, como la instancia de Compute Engine (tipo n1-standard-2 o similar), los discos persistentes y las reglas de firewall necesarias. Independientemente de la plataforma, una vez el sensor est\u00e1 desplegado y accesible, el siguiente paso es la conexi\u00f3n y configuraci\u00f3n inicial con la nube de USM Anywhere.<\/p>\n Tras el despliegue f\u00edsico o virtual del sensor, el proceso de conexi\u00f3n y configuraci\u00f3n inicial es fundamental para integrar el sensor con la instancia de USM Anywhere en la nube y comenzar la monitorizaci\u00f3n.<\/p>\n Acceso al Setup Wizard del Sensor:<\/strong><\/p>\n Se accede al asistente de configuraci\u00f3n (Setup Wizard) del sensor abriendo un navegador web y dirigi\u00e9ndose a la direcci\u00f3n IP (para sensores on-premises) o la URL p\u00fablica (para sensores cloud) asignada al sensor reci\u00e9n desplegado. Esto presenta la p\u00e1gina “Welcome to USM Anywhere Sensor Setup”.<\/p>\n En esta p\u00e1gina, se debe proporcionar un nombre y una descripci\u00f3n para el sensor. Estos identificadores ayudar\u00e1n a gestionarlo posteriormente en la consola de USM Anywhere. Una vez aprovisionada la instancia (o si ya exist\u00eda), el sistema (a menudo a trav\u00e9s de un mensaje de bienvenida en la p\u00e1gina del sensor o un correo electr\u00f3nico de LevelBlue<\/em>) proporcionar\u00e1 un enlace de acceso a la consola web segura de USM Anywhere. Es crucial seguir las pol\u00edticas de complejidad de contrase\u00f1a de USM Anywhere: longitud m\u00ednima de 8 caracteres (m\u00e1ximo 128), y debe contener d\u00edgitos num\u00e9ricos (0-9), letras may\u00fasculas (A-Z), letras min\u00fasculas (a-z) y caracteres especiales (ej. guion, guion bajo). Las cuentas se bloquean tras 45 d\u00edas de inactividad o despu\u00e9s de un n\u00famero determinado de intentos fallidos de inicio de sesi\u00f3n (5 para USM Anywhere est\u00e1ndar, 3 para TDR for Gov, con un bloqueo de 30 minutos).<\/p>\n Tras guardar la nueva contrase\u00f1a del administrador, se redirige a la p\u00e1gina de inicio de sesi\u00f3n de USM Anywhere.<\/p>\n El usuario debe ingresar con el nombre de usuario (generalmente la direcci\u00f3n de correo electr\u00f3nico asociada a la cuenta inicial) y la contrase\u00f1a reci\u00e9n establecida.<\/p>\n Una vez completados estos pasos, el sensor estar\u00e1 conectado a la instancia de USM Anywhere, y el usuario tendr\u00e1 acceso a la consola web para continuar con la configuraci\u00f3n detallada del entorno de monitorizaci\u00f3n, como el descubrimiento de activos, la configuraci\u00f3n de recolecci\u00f3n de logs y la programaci\u00f3n de escaneos.<\/p>\n Es recomendable verificar que el sensor aparece listado en Data Sources > Sensors y que comienzan a llegar eventos a Activity > Events (puede tardar unos minutos).38E. Configuraci\u00f3n de Red Inicial (Sensores On-Premises)Para los sensores USM Anywhere desplegados en entornos on-premises (VMware o Hyper-V), una configuraci\u00f3n de red adecuada y precisa desde la consola del sensor es cr\u00edtica antes de que puedan operar eficazmente y comunicarse con la nube de USM Anywhere.<\/p>\n Interfaces de Red:<\/strong> Los sensores on-premises utilizan hasta cinco interfaces de red, cada una con un rol predefinido.<\/p>\n La interfaz de gesti\u00f3n (eth0) es la m\u00e1s importante para la comunicaci\u00f3n con USM Anywhere, actualizaciones, recolecci\u00f3n de logs y escaneos.<\/p>\n Las otras interfaces (eth1-eth4) se utilizan para la monitorizaci\u00f3n pasiva de red (NIDS) y deben conectarse a puertos SPAN\/mirror en los switches.45 Es crucial que todas las NICs est\u00e9n habilitadas en la configuraci\u00f3n de la VM, incluso si no est\u00e1n conectadas, para evitar fallos en las actualizaciones de USM Anywhere.<\/p>\n Direcci\u00f3n IP Est\u00e1tica (Recomendado):<\/strong> LevelBlue recomienda encarecidamente asignar una direcci\u00f3n IP est\u00e1tica a la interfaz de gesti\u00f3n del sensor.<\/p>\n Esto asegura una conectividad fiable para el reenv\u00edo de logs, los escaneos y la comunicaci\u00f3n con la nube, y simplifica la arquitectura de red. Se configura desde la consola del sensor en Network Configuration > Configure Management Interface > Set a Static Management IP Address. Una configuraci\u00f3n DNS correcta es esencial, especialmente si se utiliza una IP est\u00e1tica, ya que los ajustes DNS no se mantienen autom\u00e1ticamente en ese caso.<\/p>\n El sensor necesita resolver nombres de host internos durante los escaneos de activos y nombres de dominio externos para la comunicaci\u00f3n con la nube USM Anywhere y OTX.<\/p>\n Se configura desde la consola del sensor en Network Configuration > Configure DNS. Se debe introducir el DNS primario y, opcionalmente, un secundario. Es una buena pr\u00e1ctica configurar el servidor DNS local de la organizaci\u00f3n como primario para asegurar la resoluci\u00f3n de nombres internos.<\/p>\n El sensor necesita comunicarse con la instancia de USM Anywhere en LevelBlue Secure Cloud y con otros servicios como OTX y servidores de actualizaci\u00f3n.<\/p>\n Dado que las IPs de estos servicios en la nube pueden cambiar, las reglas de firewall deben configurarse para permitir el tr\u00e1fico saliente hacia las URLs espec\u00edficas de estos servicios.<\/p>\n Los puertos com\u00fanmente requeridos para la comunicaci\u00f3n saliente incluyen:<\/p>\n TCP 443 (HTTPS):<\/strong> Para la comunicaci\u00f3n principal con la API de USM Anywhere y actualizaciones. Para la configuraci\u00f3n inicial del sensor a trav\u00e9s de su interfaz web, es necesario permitir temporalmente el tr\u00e1fico entrante al sensor en el puerto TCP 80.<\/p>\n Este acceso puede eliminarse una vez que el sensor se conecta exitosamente a USM Anywhere.<\/p>\n Para la recolecci\u00f3n de logs v\u00eda syslog, se deben permitir los puertos entrantes correspondientes (ej. UDP 514, TCP 601, TCP\/TLS 6514) en el firewall que protege al sensor.<\/p>\n Una configuraci\u00f3n de red inicial incorrecta, como una IP mal configurada, DNS inaccesibles o reglas de firewall demasiado restrictivas, puede impedir la activaci\u00f3n del sensor, bloquear las actualizaciones de software y de inteligencia de amenazas, o interferir con la recolecci\u00f3n de logs y los resultados de los escaneos.<\/p>\n Por lo tanto, dedicar tiempo a verificar estos ajustes es crucial para el \u00e9xito del despliegue.<\/p>\n Se puede verificar la configuraci\u00f3n de red desde la consola del sensor (Network Configuration > View Network Configuration) o desde la UI de USM Anywhere (Data Sources > Sensors > > Network IDS tab).<\/p>\n A. Gesti\u00f3n de ActivosUna gesti\u00f3n de activos eficaz es la piedra angular de cualquier programa de seguridad y es fundamental para maximizar el valor de USM Anywhere. Conocer qu\u00e9 activos existen en el entorno, d\u00f3nde est\u00e1n ubicados y cu\u00e1l es su importancia relativa permite priorizar esfuerzos de monitorizaci\u00f3n, evaluaci\u00f3n de vulnerabilidades y respuesta a incidentes.<\/p>\n M\u00e9todos de Descubrimiento de Activos:<\/strong> USM Anywhere ofrece m\u00faltiples v\u00edas para descubrir e inventariar activos :<\/p>\n Setup Wizard:<\/strong> Durante la configuraci\u00f3n inicial del sensor, el asistente permite realizar un primer descubrimiento de activos en la red local. Inventario de Activos Preciso:<\/strong> Mantener un inventario de activos preciso y actualizado es crucial. USM Anywhere busca proporcionar esta visibilidad continua.<\/p>\n Grupos de Activos:<\/strong> La plataforma permite la creaci\u00f3n de grupos de activos, que son colecciones l\u00f3gicas de activos con caracter\u00edsticas comunes. Estos pueden ser est\u00e1ticos (activos a\u00f1adidos manualmente) o din\u00e1micos (activos a\u00f1adidos autom\u00e1ticamente basados en criterios como sistema operativo, etiquetas o criticidad).<\/p>\n Los grupos de activos son esenciales para aplicar pol\u00edticas de escaneo espec\u00edficas, reglas de correlaci\u00f3n diferenciadas y para la generaci\u00f3n de informes segmentados (por ejemplo, para cumplimiento PCI DSS en un grupo de activos espec\u00edfico).<\/p>\n Campos de Activos Personalizados:<\/strong> Para enriquecer la informaci\u00f3n del inventario m\u00e1s all\u00e1 de los datos descubiertos autom\u00e1ticamente, USM Anywhere permite crear campos de activos personalizados.<\/p>\n Estos campos pueden usarse para registrar informaci\u00f3n espec\u00edfica del negocio, como el propietario del activo, el departamento, la criticidad para el negocio, o el estado de cumplimiento.<\/p>\n Esta informaci\u00f3n adicional puede ser invaluable durante la investigaci\u00f3n de incidentes y la priorizaci\u00f3n de vulnerabilidades.<\/p>\n Tipos y Mejores Pr\u00e1cticas<\/strong><\/p>\n USM Anywhere integra capacidades de escaneo para el descubrimiento de activos y la evaluaci\u00f3n de vulnerabilidades. Una estrategia de escaneo bien planificada y ejecutada es esencial para la precisi\u00f3n de los datos y la salud del sistema.<\/p>\n Tipos de Escaneo:<\/strong><\/p>\n Descubrimiento de Activos (Asset Discovery Scans): Su objetivo principal es identificar nuevos activos en la red o actualizar la informaci\u00f3n de los existentes. Pueden ser escaneos de red o basados en API (para cloud). Se dividen en:<\/p>\n No Autenticados (Unauthenticated):<\/strong> Realizados desde una perspectiva externa, sin credenciales. Identifican vulnerabilidades explotables remotamente sin acceso previo.<\/p>\n Autenticados (Authenticated):<\/strong> Realizados con credenciales de acceso al activo (SSH para Linux\/macOS, WinRM para Windows). Proporcionan una visi\u00f3n mucho m\u00e1s profunda y precisa de las vulnerabilidades, ya que pueden inspeccionar la configuraci\u00f3n del sistema, el software instalado y los parches aplicados desde dentro.<\/p>\n Escaneos Programados:<\/strong> USM Anywhere permite programar diversos tipos de escaneos a trav\u00e9s del Job Scheduler, incluyendo escaneos de Active Directory (para inventario), escaneos de API (para activos cloud), escaneos de activos individuales o grupos de activos para descubrimiento o vulnerabilidades.<\/p>\n Priorizar Escaneos API en Cloud:<\/strong> En entornos de nube (AWS, Azure, GCP), se deben priorizar los m\u00e9todos de descubrimiento basados en API sobre los escaneos de red tradicionales.<\/p>\n Las APIs proporcionan informaci\u00f3n m\u00e1s completa sobre los activos (estado, tipo de instancia, regi\u00f3n, etc.) y reducen significativamente el riesgo de crear activos duplicados.<\/p>\n Si m\u00faltiples m\u00e9todos API devuelven los mismos activos, se debe usar solo el que proporcione la mayor cantidad de informaci\u00f3n y deshabilitar los otros en el Job Scheduler para evitar duplicados.<\/p>\n Orden de Escaneos:<\/strong> Generalmente, se recomienda ejecutar escaneos de descubrimiento de activos (especialmente v\u00eda API para cloud) primero para poblar el inventario.<\/p>\n Posteriormente, ejecutar escaneos de vulnerabilidad (preferiblemente autenticados<\/em>) sobre los activos descubiertos. Un activo descubierto primero por un escaneo de red y luego por un m\u00e9todo API puede resultar en un duplicado.<\/p>\n Vinculaci\u00f3n de Agentes:<\/strong> Despu\u00e9s de desplegar un agente LevelBlue<\/strong> en un host, es importante vincularlo al activo correspondiente ya existente en USM Anywhere para consolidar la informaci\u00f3n.<\/p>\n Escaneos de Active Directory:<\/strong> Cuando un escaneo de AD descubre un activo, los escaneos de descubrimiento de activos\/grupos de activos posteriores actualizar\u00e1n la informaci\u00f3n de ese activo existente creado por el escaneo de AD.<\/p>\n Los escaneos de vulnerabilidad, especialmente los autenticados que son m\u00e1s intensivos, deben programarse con una frecuencia adecuada (ej. semanalmente es un buen punto de partida, a menos que haya actualizaciones continuas de software) y, preferiblemente, durante horas de baja actividad para minimizar el impacto en el rendimiento de los activos escaneados y del propio sensor.<\/p>\n Los escaneos de descubrimiento de activos pueden ser m\u00e1s frecuentes, pero tambi\u00e9n deben programarse con sensatez.<\/p>\n Ejecutar escaneos de descubrimiento (incluyendo AD) m\u00e1s de una vez al d\u00eda suele ser contraproducente. Tama\u00f1o de Red (CIDR):<\/strong> Al configurar escaneos de red, limitar el tama\u00f1o de los bloques CIDR a segmentos manejables (ej. \/24 o menor).<\/p>\n Evitar bloques muy grandes como \/16, que pueden sobrecargar el sensor y la red. Windows:<\/strong> WinRM habilitado y configurado (puerto 5985 por defecto), PowerShell v5.1 o superior, servicio de Registro Remoto habilitado, y credenciales con los permisos adecuados (a menudo administrativos) para acceder a archivos y registros. Una estrategia de escaneo bien adaptada al entorno espec\u00edfico (cloud, on-prem, h\u00edbrido) y optimizada seg\u00fan estas mejores pr\u00e1cticas es crucial. No solo asegura la precisi\u00f3n del inventario de activos y la evaluaci\u00f3n de vulnerabilidades, sino que tambi\u00e9n previene la duplicaci\u00f3n de datos y la sobrecarga innecesaria del sistema USM Anywhere y de los recursos monitorizados.<\/p>\n Los escaneos autenticados, aunque requieren m\u00e1s configuraci\u00f3n inicial, son indispensables para una evaluaci\u00f3n de vulnerabilidades exhaustiva y precisa, y deben ser una prioridad en cualquier programa de gesti\u00f3n de vulnerabilidades.<\/p>\n La recolecci\u00f3n, normalizaci\u00f3n, enriquecimiento y almacenamiento de logs son funciones centrales de USM Anywhere, proporcionando la base para la detecci\u00f3n de amenazas, la investigaci\u00f3n forense y el cumplimiento normativo.<\/p>\n <\/p>\n Recolecci\u00f3n:<\/strong> Los sensores USM Anywhere<\/strong> y los agentes LevelBlue<\/strong> recolectan logs de una amplia variedad de fuentes en el entorno del cliente.<\/p>\n Esto incluye logs de sistemas operativos, aplicaciones, dispositivos de red (firewalls, routers, switches), servicios en la nube (AWS CloudTrail, Azure Monitor, etc.) y logs de seguridad de endpoints.<\/p>\n Normalizaci\u00f3n:<\/strong> Una vez recolectados, los logs, que provienen de formatos y estructuras muy diversas, son normalizados por el sensor o agente.<\/p>\n La normalizaci\u00f3n implica mapear los campos de los logs originales a una taxonom\u00eda est\u00e1ndar y un conjunto de terminolog\u00eda com\u00fan definidos por USM Anywhere.<\/p>\n Por ejemplo, diferentes proveedores pueden usar t\u00e9rminos como “outcome” o “result” para indicar el \u00e9xito o fracaso de un intento de autenticaci\u00f3n; USM Anywhere los mapear\u00eda a un \u00fanico campo est\u00e1ndar. Este paso es esencial para poder comparar y correlacionar eventos de diferentes fuentes.<\/p>\n La documentaci\u00f3n indica que el proceso de normalizaci\u00f3n puede aumentar el tama\u00f1o del mensaje de log original en aproximadamente un 100% al preservar el log original y a\u00f1adir los campos normalizados.<\/p>\n Env\u00edo Seguro a la Nube:<\/strong> Los eventos normalizados son enviados de forma segura (v\u00eda TLS 1.2) desde el sensor\/agente a la instancia de USM Anywhere en LevelBlue Secure Cloud.<\/p>\n Enriquecimiento (en la Nube):<\/strong> Ya en la nube, los eventos pueden ser enriquecidos con informaci\u00f3n contextual adicional. La infraestructura de USM Anywhere tiene acceso a datos sobre la red y los sistemas del cliente, as\u00ed como a bases de datos externas (geolocalizaci\u00f3n de IPs, tipos de dispositivos, inteligencia de amenazas de OTX).<\/p>\n Este enriquecimiento a\u00f1ade valor a los logs, por ejemplo, identificando la ubicaci\u00f3n geogr\u00e1fica de una IP de origen o destino, o a\u00f1adiendo el MAC address y FQDN a un evento si se conocen, lo cual es \u00fatil en entornos con DHCP.<\/p>\n Correlaci\u00f3n y An\u00e1lisis:<\/strong> Los eventos normalizados y enriquecidos son procesados por el motor de correlaci\u00f3n para identificar patrones de actividad sospechosa o maliciosa, generando alarmas si es necesario.<\/p>\n Almacenamiento:<\/strong> Finalmente, los eventos (y los logs crudos originales) son almacenados para su posterior an\u00e1lisis, investigaci\u00f3n y cumplimiento.<\/p>\n Hot Storage (Almacenamiento Caliente):<\/strong> Los eventos recientes y los datos de telemetr\u00eda m\u00e1s relevantes se almacenan en un sistema de “hot storage”, a menudo basado en Elasticsearch.<\/p>\n Esto permite b\u00fasquedas y an\u00e1lisis extremadamente r\u00e1pidos, esenciales para la investigaci\u00f3n de incidentes en tiempo real y la visualizaci\u00f3n en dashboards. Este almacenamiento a largo plazo es crucial para investigaciones forenses retrospectivas y para cumplir con los requisitos de retenci\u00f3n de logs de diversas normativas (ej. PCI DSS requiere al menos un a\u00f1o). Configuraci\u00f3n de Syslog Seguro (TLS):<\/strong> Para las fuentes de logs que env\u00edan datos v\u00eda syslog, es una mejor pr\u00e1ctica configurar la transmisi\u00f3n segura utilizando TLS. USM Anywhere soporta la recepci\u00f3n de syslog sobre TLS (puerto 6514 por defecto).<\/p>\n Esto requiere generar o adquirir un certificado SSL\/TLS y configurarlo en el sensor USM Anywhere para el servidor syslog.<\/p>\n Este paso es importante para proteger la confidencialidad e integridad de los logs en tr\u00e1nsito desde las fuentes hasta el sensor.<\/p>\n La normalizaci\u00f3n y el enriquecimiento son procesos fundamentales que transforman la masa de logs crudos, a menudo cr\u00edpticos y heterog\u00e9neos, en un conjunto de datos estandarizado, contextualizado y accionable.<\/p>\n Sin estos pasos, la correlaci\u00f3n efectiva de eventos a trav\u00e9s de diferentes sistemas y la detecci\u00f3n precisa de amenazas ser\u00edan pr\u00e1cticamente imposibles.<\/p>\n El almacenamiento WORM, por su parte, es una caracter\u00edstica vital que subraya la fiabilidad de USM Anywhere para la recolecci\u00f3n de evidencia digital y el cumplimiento de normativas estrictas.<\/p>\n La gesti\u00f3n de reglas en USM Anywhere<\/strong> es un componente din\u00e1mico y esencial para adaptar la plataforma a las necesidades espec\u00edficas de cada entorno y para mantener la eficacia de la detecci\u00f3n de amenazas a lo largo del tiempo.<\/p>\n Es un proceso iterativo que requiere configuraci\u00f3n inicial y ajustes continuos a medida que el entorno evoluciona y surgen nuevas amenazas.<\/p>\n USM Anywhere distingue principalmente entre Reglas de Correlaci\u00f3n y Reglas de Orquestaci\u00f3n.<\/p>\n Estas reglas son predefinidas y mantenidas por el equipo de LevelBlue Labs Security Research Team<\/strong>.<\/p>\n Los usuarios no pueden modificarlas directamente.<\/p>\n Su prop\u00f3sito es identificar patrones de ataque complejos o comportamientos maliciosos que involucran m\u00faltiples eventos, posiblemente de diferentes fuentes de datos o activos, ocurriendo en una secuencia o combinaci\u00f3n particular.<\/p>\n Las reglas de correlaci\u00f3n se basan en una estructura de tres niveles para describir el comportamiento observado:<\/p>\n Intenci\u00f3n (Intent):<\/strong> El objetivo general del comportamiento, mapeado aproximadamente a las fases de la “cyber kill chain” (ej. System Compromise, Exploitation & Installation, Delivery & Attack, Reconnaissance & Probing, Environmental Awareness).<\/p>\n Estrategia (Strategy):<\/strong> La metodolog\u00eda general empleada por el atacante (ej. “Client-Side Attack – Known Vulnerability”).<\/p>\n M\u00e9todo (Method):<\/strong> Los detalles espec\u00edficos de la metodolog\u00eda (ej. el software objetivo y la vulnerabilidad espec\u00edfica, como “Firefox – CVE-2008-4064”).<\/p>\n Estas reglas son la principal fuente de generaci\u00f3n de alarmas de alta fidelidad en USM Anywhere. Se actualizan continuamente a trav\u00e9s de la suscripci\u00f3n de Inteligencia de Amenazas de LevelBlue Labs.<\/p>\n Estas reglas son creadas y personalizadas por los usuarios de USM Anywhere para implementar pol\u00edticas espec\u00edficas sobre c\u00f3mo tratar eventos o alarmas particulares.<\/p>\n Permiten una gran flexibilidad para adaptar la plataforma al entorno y a los procesos de seguridad de la organizaci\u00f3n.<\/p>\n Existen varios tipos de reglas de orquestaci\u00f3n :<\/p>\n Reglas de Supresi\u00f3n (Suppression Rules):<\/strong> Se utilizan para reducir el “ruido” en el sistema, suprimiendo eventos o alarmas que se consideran falsos positivos o de baja relevancia para el entorno espec\u00edfico. Esto ayuda a los analistas a centrarse en las alertas m\u00e1s importantes. Esto puede ser \u00fatil para evitar la ingesta de logs excesivamente voluminosos y de bajo valor, ayudando a gestionar el consumo de datos. Sin embargo, deben usarse con precauci\u00f3n para no filtrar informaci\u00f3n de seguridad relevante.<\/p>\n Reglas de Alarma (Alarm Rules):<\/strong> Permiten a los usuarios crear sus propias condiciones para generar alarmas personalizadas basadas en eventos espec\u00edficos o combinaciones de eventos que son significativos para su organizaci\u00f3n pero que podr\u00edan no estar cubiertos por las reglas de correlaci\u00f3n predefinidas.<\/p>\n Reglas de Notificaci\u00f3n (Notification Rules):<\/strong> Se utilizan para configurar el env\u00edo de notificaciones (ej. por correo electr\u00f3nico, Slack, PagerDuty, Amazon SNS) cuando se cumplen ciertas condiciones de eventos o alarmas, asegurando que el personal adecuado sea alertado.<\/p>\n Reglas de Acci\u00f3n de Respuesta (Response Action Rules):<\/strong> Permiten automatizar respuestas a eventos o alarmas mediante la ejecuci\u00f3n de acciones a trav\u00e9s de BlueApps integradas (ej. bloquear una IP en un firewall, aislar un endpoint, crear un ticket en un sistema ITSM).<\/p>\n Eficiencia:<\/strong> Para asegurar un procesamiento eficiente, se recomienda que las reglas contengan al menos dos condiciones: una para packet_type (el tipo de \u00edtem contra el que se compara, ej. ‘log’, ‘alarm’) y otra para plugin (la fuente de datos). Usar IN o In List (con Listas de Correlaci\u00f3n, donde sea aplicable) en lugar de m\u00faltiples condiciones Equals combinadas con OR para el mismo campo.<\/p>\n Evitar packet_payload:<\/strong> No usar el campo packet_payload (contenido completo del paquete) directamente en los criterios de las reglas, ya que puede ser muy costoso de procesar y la regla podr\u00eda no validarse correctamente. Si es necesario, usar detalles del raw log. Las reglas de alarma no tienen acceso a packet_payload.<\/p>\n Validaci\u00f3n de Reglas:<\/strong> USM Anywhere inspecciona y valida las reglas de orquestaci\u00f3n activas para indicar su estado y posibles errores o advertencias.<\/p>\n Es crucial revisar el estado de validaci\u00f3n de las reglas y realizar los cambios necesarios para optimizarlas.<\/p>\n La combinaci\u00f3n inteligente de reglas de correlaci\u00f3n (que proporcionan una base s\u00f3lida de detecci\u00f3n de amenazas mantenida por expertos) y reglas de orquestaci\u00f3n (que ofrecen personalizaci\u00f3n y automatizaci\u00f3n) es lo que permite a USM Anywhere ser una herramienta potente y adaptable.<\/p>\n Un proceso de tuning de reglas bien ejecutado, especialmente enfocado en la supresi\u00f3n efectiva de falsos positivos y el filtrado juicioso de eventos de bajo valor, es esencial para gestionar la fatiga de alertas y asegurar que el equipo de seguridad pueda concentrarse en las amenazas reales y responder de manera eficiente.<\/p>\n La gesti\u00f3n de usuarios y el Control de Acceso Basado en Roles (RBAC) son fundamentales en USM Anywhere para garantizar que solo el personal autorizado acceda a la plataforma y que cada usuario tenga \u00fanicamente los permisos necesarios para realizar sus funciones, adhiri\u00e9ndose al principio de m\u00ednimo privilegio.<\/p>\n Roles Predefinidos:<\/strong> USM Anywhere implementa cuatro roles predefinidos con conjuntos de permisos espec\u00edficos :<\/p>\n Read-Only (Solo Lectura):<\/strong> Puede acceder a las vistas y buscar en el sistema, pero no puede realizar cambios que impacten a otros usuarios o la configuraci\u00f3n del sistema. Ideal para personal que necesita visibilidad pero no funciones operativas. No puede realizar cambios en la configuraci\u00f3n del sistema. Adecuado para analistas junior o personal de cumplimiento que necesita extraer datos. Sin embargo, no puede a\u00f1adir o modificar configuraciones de sensores, credenciales para BlueApps\/notificaciones\/inteligencia de amenazas, ni a\u00f1adir usuarios.<\/p>\n Este rol es para analistas de seguridad operativa.<\/p>\n Manager (Administrador):<\/strong> Posee todos los permisos de Analista y, adicionalmente, puede a\u00f1adir o modificar configuraciones de sensores, configurar credenciales para BlueApps, aplicaciones de notificaci\u00f3n e integraciones de inteligencia de amenazas, y a\u00f1adir\/gestionar usuarios.<\/p>\n Es el rol con plenos poderes administrativos sobre la instancia de USM Anywhere.<\/p>\n La creaci\u00f3n, edici\u00f3n y eliminaci\u00f3n de cuentas de usuario solo puede ser realizada por usuarios con el rol de Manager, desde la secci\u00f3n Settings > Users. Contrase\u00f1as:<\/strong> USM Anywhere impone pol\u00edticas de complejidad de contrase\u00f1a (longitud, combinaci\u00f3n de caracteres), expiraci\u00f3n (90 d\u00edas) y proh\u00edbe la reutilizaci\u00f3n de las \u00faltimas cuatro contrase\u00f1as. Los usuarios Manager pueden desbloquear cuentas inactivas; para bloqueos por intentos fallidos, se puede enviar un reseteo de contrase\u00f1a o esperar el tiempo de bloqueo. Monitorizaci\u00f3n de Actividad de Usuarios:<\/strong> Todas las acciones realizadas por los usuarios dentro de la interfaz de USM Anywhere se registran como “Console User Events<\/em>“.<\/p>\n Estos eventos pueden ser revisados por los administradores para auditor\u00eda y seguimiento de la actividad en la plataforma.<\/p>\n La siguiente tabla resume las capacidades clave de cada rol predefinido, lo que facilita la asignaci\u00f3n adecuada de permisos:<\/p>\n Tabla:<\/strong> Roles de Usuario Predefinidos en USM Anywhere Permisos<\/p>\n Clave<\/p>\n FuentesRead-Only<\/p>\n Acceso de solo visualizaci\u00f3n y b\u00fasqueda.<\/p>\n Ver dashboards, alarmas, eventos, activos. Buscar datos. Generar informes b\u00e1sicos. No puede modificar configuraciones.<\/p>\n Investigator<\/p>\n Capacidades de Read-Only m\u00e1s generaci\u00f3n de informes.<\/p>\n Todo lo de Read-Only. Generar informes m\u00e1s detallados. No puede modificar configuraciones.<\/p>\n Analyst<\/p>\n Capacidades operativas de seguridad.<\/p>\n Todo lo de Investigator.<\/p>\n Programar trabajos (escaneos).<\/p>\n Ejecutar acciones de respuesta (BlueApps).<\/p>\n Configurar reglas de orquestaci\u00f3n. Configurar credenciales de activos. No puede gestionar sensores ni usuarios.<\/p>\n ManagerAcceso administrativo completo.<\/p>\n Todo lo de Analyst. A\u00f1adir\/modificar sensores.<\/p>\n Configurar credenciales de BlueApps, notificaciones, inteligencia de amenazas.<\/p>\n A\u00f1adir\/gestionar usuarios y sus roles. Acceso a todas las configuraciones del sistema.<\/p>\n Una correcta implementaci\u00f3n del RBAC es esencial no solo para la seguridad de la propia plataforma USM Anywhere, sino tambi\u00e9n para el cumplimiento de normativas que exigen la segregaci\u00f3n de funciones y el control de acceso a datos sensibles.<\/p>\n Asignar el rol adecuado a cada miembro del equipo de seguridad asegura que puedan realizar sus tareas eficazmente sin tener permisos excesivos que podr\u00edan ser abusados o comprometidos.<\/p>\n La implementaci\u00f3n inicial de USM Anywhere es solo el primer paso. Para extraer el m\u00e1ximo valor y mantener su eficacia a largo plazo, es crucial un proceso continuo de optimizaci\u00f3n y tuning.60 Este proceso tiene como objetivo principal reducir el volumen de alertas irrelevantes (falsos positivos), minimizar la fatiga de alertas en los analistas y asegurar que la plataforma est\u00e9 configurada de manera \u00f3ptima para detectar las amenazas m\u00e1s pertinentes para la organizaci\u00f3n.<\/p>\n Ajuste Fino de Reglas:<\/strong> La principal herramienta de tuning son las reglas de orquestaci\u00f3n.<\/p>\n Reglas de Supresi\u00f3n:<\/strong> Identificar y suprimir sistem\u00e1ticamente alarmas o eventos que, tras un an\u00e1lisis, se confirman como falsos positivos o ruido inherente al entorno espec\u00edfico.<\/p>\n Esto es vital para que los analistas no se vean desbordados.60 Por ejemplo, si una aplicaci\u00f3n leg\u00edtima genera un patr\u00f3n de tr\u00e1fico que dispara una alarma gen\u00e9rica, se puede crear una regla de supresi\u00f3n espec\u00edfica para ese comportamiento en ese contexto.<\/p>\n Reglas de Filtrado:<\/strong> Utilizar con extrema cautela para descartar eventos de muy bajo valor directamente en el sensor, antes de que consuman recursos de procesamiento o almacenamiento. Es crucial no filtrar eventos que podr\u00edan ser \u00fatiles para la correlaci\u00f3n o investigaci\u00f3n forense. Uso de Etiquetas (Labels):<\/strong> Aplicar etiquetas personalizadas a alarmas y vulnerabilidades permite clasificarlas y gestionarlas de forma m\u00e1s eficiente.<\/p>\n Por ejemplo, se pueden crear etiquetas para “Investigaci\u00f3n en Curso”, “Falso Positivo Confirmado”, “Remediaci\u00f3n Pendiente”, “Riesgo Aceptado”, etc.<\/p>\n Esto facilita el seguimiento, la asignaci\u00f3n de tareas y la generaci\u00f3n de informes espec\u00edficos.<\/p>\n Contextualizaci\u00f3n con Inteligencia de Amenazas (OTX):<\/strong> Asegurar que la integraci\u00f3n con OTX est\u00e9 activa y que los pulsos relevantes para la industria o el perfil de amenaza de la organizaci\u00f3n est\u00e9n suscritos.<\/p>\n La informaci\u00f3n de reputaci\u00f3n IP y los IOCs de OTX pueden ayudar a priorizar autom\u00e1ticamente las alarmas que involucran amenazas conocidas y activas.<\/p>\n Establecimiento de L\u00edneas Base (Baselining):<\/strong> Comprender cu\u00e1l es el comportamiento “normal” de la red, los sistemas y los usuarios es fundamental para detectar anomal\u00edas. Aunque USM Anywhere tiene capacidades de monitorizaci\u00f3n del comportamiento, el equipo de seguridad debe familiarizarse con los patrones habituales de su entorno para poder identificar y ajustar reglas ante desviaciones significativas que no necesariamente son maliciosas.<\/p>\n Servicios de Asesor\u00eda:<\/strong> Para organizaciones que puedan necesitar ayuda experta, LevelBlue ofrece los USM Anywhere Advisors. Estos consultores pueden asistir en diversas actividades, incluyendo el tuning de la plataforma, la configuraci\u00f3n de sensores, el despliegue de BlueApps y la investigaci\u00f3n de incidentes, ayudando a los clientes a optimizar su despliegue.<\/p>\n El tuning no es una actividad que se realiza una \u00fanica vez tras la instalaci\u00f3n, sino un ciclo continuo de revisi\u00f3n, an\u00e1lisis y ajuste.<\/p>\n A medida que el entorno de TI cambia (nuevos sistemas, aplicaciones, usuarios) y el panorama de amenazas evoluciona, las reglas y configuraciones de USM Anywhere deben adaptarse.<\/p>\n Un esfuerzo proactivo y constante en el tuning es la clave para evitar la “fatiga de alertas”, un fen\u00f3meno donde los analistas se vuelven insensibles a las alertas debido a un alto volumen de falsos positivos, lo que puede llevar a pasar por alto amenazas reales.<\/p>\n Un sistema bien afinado asegura que el equipo de seguridad dedique su tiempo y atenci\u00f3n a los incidentes que verdaderamente importan.<\/p>\n Anywhere est\u00e1 dise\u00f1ado no solo para detectar amenazas, sino tambi\u00e9n para facilitar un proceso eficiente de investigaci\u00f3n y respuesta a incidentes (IR).<\/p>\n El objetivo es reducir el tiempo medio de detecci\u00f3n (MTTD) y el tiempo medio de respuesta (MTTR).<\/p>\n El proceso generalmente comienza con una alarma generada por el sistema, ya sea por una regla de correlaci\u00f3n o una regla de orquestaci\u00f3n personalizada.<\/p>\n Desde la alarma, el analista puede pivotar para ver los eventos subyacentes que la desencadenaron, los activos involucrados (origen y destino), las vulnerabilidades conocidas en esos activos, y otra informaci\u00f3n contextual relevante.<\/p>\n Esta capacidad de moverse fluidamente entre diferentes tipos de datos es crucial para entender el alcance y la naturaleza del incidente.<\/p>\n La plataforma ofrece la funcionalidad de “Investigations”, que permite a los analistas agrupar y organizar todos los artefactos relacionados con un incidente espec\u00edfico (alarmas, eventos, notas, archivos adjuntos) en un caso centralizado.<\/p>\n Esto facilita el seguimiento de la investigaci\u00f3n, la colaboraci\u00f3n entre analistas y la documentaci\u00f3n del incidente.<\/p>\n USM Anywhere soporta la creaci\u00f3n de Playbooks, que son conjuntos predefinidos de pasos o acciones a seguir en respuesta a tipos espec\u00edficos de alarmas o incidentes.
\nSIEM y Gesti\u00f3n de Logs:<\/strong> Constituye el n\u00facleo de la plataforma, proporcionando recolecci\u00f3n centralizada de logs desde una amplia variedad de fuentes (dispositivos de red, servidores, aplicaciones, servicios en la nube).<\/p>\n
\nEvaluaci\u00f3n de Vulnerabilidades (Vulnerability Assessment):<\/strong> La plataforma realiza escaneos de vulnerabilidades, tanto autenticados (con credenciales) como no autenticados, sobre los activos descubiertos. Compara la configuraci\u00f3n y el software de los activos con una base de datos de vulnerabilidades conocidas (CVEs) y problemas de configuraci\u00f3n comunes para identificar debilidades que podr\u00edan ser explotadas por atacantes.
\nDetecci\u00f3n de Intrusiones (IDS):<\/strong> Incorpora m\u00faltiples formas de detecci\u00f3n de intrusiones:<\/p>\n
\nHost-based Intrusion Detection System (HIDS):<\/strong> Analiza la actividad y los logs en los endpoints individuales para detectar comportamientos sospechosos o maliciosos.
\nCloud Intrusion Detection (Cloud IDS):<\/strong> Aprovecha los logs y APIs de los proveedores de nube para detectar amenazas espec\u00edficas en estos entornos.<\/p>\n
\nLa integraci\u00f3n de estas diversas funcionalidades en una \u00fanica plataforma cohesiva es un diferenciador clave.<\/p>\nArquitectura y Componentes<\/h3>\n
B. Sensores USM Anywhere<\/strong><\/h3>\n
\nDescubrimiento de Activos:<\/strong> Identifican y mapean los dispositivos y sistemas presentes en la red o entorno cloud.
\nEscaneo de Vulnerabilidades:<\/strong> Realizan an\u00e1lisis de los activos para detectar debilidades de seguridad conocidas.
\nMonitorizaci\u00f3n de Red:<\/strong> Capturan y analizan paquetes de red (Network IDS – NIDS) para identificar tr\u00e1fico sospechoso o malicioso.
\nRecolecci\u00f3n de Logs:<\/strong> Agregan logs de una amplia variedad de fuentes, incluyendo dispositivos de red, servidores, aplicaciones y servicios en la nube.
\nNormalizaci\u00f3n de Logs:<\/strong> Transforman los logs recolectados, que provienen de formatos diversos, en una estructura de datos estandarizada. Este paso es crucial para permitir la correlaci\u00f3n y el an\u00e1lisis unificado en la nube USM Anywhere.
\nLevelBlue ofrece diferentes tipos de sensores, cada uno optimizado para un entorno espec\u00edfico, lo que asegura una integraci\u00f3n nativa y una recolecci\u00f3n de datos eficiente:
\nSensor VMware:<\/strong> Para despliegue en entornos virtualizados con VMware ESXi.
\nSensor Hyper-V:<\/strong> Para despliegue en entornos virtualizados con Microsoft Hyper-V.
\nSensor AWS:<\/strong> Para monitorizar recursos y servicios dentro de Amazon Web Services.<\/p>\n
\nSensor Azure:<\/strong> Para monitorizar recursos y servicios dentro de Microsoft Azure. Tambi\u00e9n cuenta con una variante para Azure Government.
\nSensor GCP (Google Cloud Platform):<\/strong> Para monitorizar recursos y servicios en Google Cloud.<\/p>\n
\nLa comunicaci\u00f3n entre los sensores desplegados en el entorno del cliente y la instancia de USM Anywhere<\/strong> en la nube se realiza de forma segura.<\/p>\nC. Agentes LevelBlue (USM Anywhere Agents)<\/strong><\/h3>\n
\nEndpoint Detection and Response (EDR):<\/strong> Permiten la detecci\u00f3n de actividades maliciosas y amenazas avanzadas directamente en el endpoint, donde muchos ataques modernos ejecutan sus fases cr\u00edticas.
\nMonitorizaci\u00f3n de Integridad de Archivos (FIM):<\/strong> Supervisan archivos y registros cr\u00edticos del sistema en busca de cambios no autorizados, lo cual puede ser un indicador de compromiso o actividad maliciosa.
\nMonitorizaci\u00f3n de Activos de Red (desde el Endpoint):<\/strong> Recopilan informaci\u00f3n sobre la actividad de red y el estado del host desde la perspectiva del propio endpoint.
\nRecolecci\u00f3n de Logs del Host:<\/strong> Recolectan logs espec\u00edficos del sistema operativo, como los Windows Event Logs, para un an\u00e1lisis centralizado.
\nUna caracter\u00edstica distintiva de los Agentes LevelBlue<\/strong> es que se comunican directamente con la plataforma USM Anywhere en la nube, sin necesidad de que sus datos pasen a trav\u00e9s de un sensor USM Anywhere local.<\/p>\nD. Inteligencia de Amenazas Integrada<\/strong><\/h3>\n
\nFirmas IDS:<\/strong> Patrones para detectar tr\u00e1fico de red malicioso conocido.
\nAuditor\u00edas de Vulnerabilidad:<\/strong> Chequeos para identificar nuevas vulnerabilidades en los sistemas.
\nFirmas de Descubrimiento de Activos: Para mejorar la identificaci\u00f3n de dispositivos y software.
\nDatos de Reputaci\u00f3n IP:<\/strong> Listas de direcciones IP conocidas por estar asociadas con actividades maliciosas.
\nPlantillas de Informes:<\/strong> Para facilitar la generaci\u00f3n de informes relevantes.<\/p>\n
\nExtracci\u00f3n y An\u00e1lisis de Datos Externos:<\/strong> Permiten a USM Anywhere recolectar logs y otros datos de seguridad de soluciones de terceros (firewalls, EDRs, plataformas cloud, aplicaciones SaaS, etc.). Estos datos se normalizan y se incorporan al motor de an\u00e1lisis y correlaci\u00f3n de USM Anywhere.
\nVisualizaci\u00f3n en Dashboards:<\/strong> Los datos recopilados a trav\u00e9s de BlueApps pueden visualizarse en los dashboards de USM Anywhere, proporcionando una vista consolidada del estado de seguridad a trav\u00e9s de m\u00faltiples herramientas.
\nOrquestaci\u00f3n de Acciones de Respuesta<\/strong>: Las BlueApps “Avanzadas”<\/strong> permiten a USM Anywhere enviar comandos o ejecutar acciones en las herramientas de terceros integradas. Esto es fundamental para la automatizaci\u00f3n y orquestaci\u00f3n de la respuesta a incidentes.
\nLa documentaci\u00f3n menciona una creciente lista de integraciones a trav\u00e9s de BlueApps, incluyendo soluciones populares como:<\/p>\n
\nSeguridad de Red:<\/strong> Cisco Umbrella, Palo Alto Networks PAN-OS.14
\nGesti\u00f3n de Servicios de TI (ITSM):<\/strong> Jira, ServiceNow.16
\nSeguridad de Endpoints:<\/strong> Carbon Black EDR, CrowdStrike Falcon, Sophos Central, McAfee ePO.
\nGesti\u00f3n de Identidad y Acceso:<\/strong> Okta.
\nPlataformas Cloud:<\/strong> Integraciones nativas con AWS, Azure, GCP que tambi\u00e9n pueden considerarse \u0636\u0645\u0646 el concepto de BlueApps en cuanto a la recolecci\u00f3n de logs espec\u00edficos de la nube.
\nOtras:<\/strong> Akamai Enterprise Application Access y Enterprise Threat Protector.
\nUn ejemplo pr\u00e1ctico de orquestaci\u00f3n a trav\u00e9s de una BlueApp ser\u00eda: USM Anywhere detecta un evento de comunicaci\u00f3n con un servidor de Comando y Control (C2) de ransomware.<\/p>\nA. Proceso General y Prerrequisitos<\/strong><\/h3>\n
\nAprovisionamiento del Sensor USM Anywhere Inicial:<\/strong> Utilizando el enlace y la plantilla\/imagen, se crea la m\u00e1quina virtual (VM) del sensor dentro de la cuenta de nube o red local del cliente. Se accede a la URL del sensor y se introduce el c\u00f3digo de activaci\u00f3n para aprovisionar la instancia de USM Anywhere en LevelBlue Secure Cloud.
\nConfiguraci\u00f3n del Sensor USM Anywhere con el Setup Wizard:<\/strong> Un asistente de configuraci\u00f3n (Setup Wizard), espec\u00edfico para el tipo de sensor, gu\u00eda al usuario a trav\u00e9s de la configuraci\u00f3n inicial, que incluye la recolecci\u00f3n de logs, la gesti\u00f3n de logs y los escaneos autenticados.
\nConfiguraci\u00f3n de la Red para la Recolecci\u00f3n de Datos:<\/strong> Se deben realizar configuraciones de red adicionales para asegurar que el sensor pueda recolectar datos de manera \u00f3ptima.<\/p>\n
\nCredenciales Administrativas:<\/strong> Se requieren credenciales con privilegios administrativos para los sistemas operativos donde se realizar\u00e1n escaneos autenticados (por ejemplo, credenciales SSH para Linux y WinRM para Windows). Estos escaneos son necesarios para una evaluaci\u00f3n de vulnerabilidades completa y para recopilar informaci\u00f3n detallada del software y servicios en ejecuci\u00f3n.<\/p>\n
\nPermisos en Plataformas Cloud:<\/strong> Para despliegues en AWS, Azure o GCP, se necesitan permisos adecuados en la consola de gesti\u00f3n del proveedor de nube para crear y configurar los recursos necesarios para el sensor (VMs, roles IAM, grupos de seguridad, etc.).<\/p>\nB. Descarga e Instalaci\u00f3n de Sensores<\/h3>\n
C. Despliegue por Plataforma (Resumen de Pasos Clave)<\/strong><\/h3>\n
\nEn VMware vCenter o ESXi host, desplegar la VM utilizando el archivo OVF.
\nConfigurar los recursos de la VM (CPU, RAM, discos) seg\u00fan los requisitos.
\nConfigurar las interfaces de red de la VM. USM Anywhere utiliza hasta cinco interfaces de red con roles predefinidos; la interfaz de gesti\u00f3n es esencial.
\nEncender la VM y acceder a la consola del sensor para la configuraci\u00f3n inicial (IP, DNS, contrase\u00f1a de sysadmin).
\nAcceder a la IP del sensor v\u00eda web para conectar con la instancia USM Anywhere usando el c\u00f3digo de activaci\u00f3n.<\/p>\nHyper-V:<\/h3>\n
\nEn Hyper-V Manager o SCVMM, crear una nueva m\u00e1quina virtual.
\nAdjuntar la imagen VHD\/VHDX descargada como disco duro de la VM.
\nConfigurar los recursos de la VM (CPU, RAM) y las interfaces de red (hasta cinco).
\nEncender la VM y acceder a la consola del sensor para la configuraci\u00f3n inicial.
\nAcceder a la IP del sensor v\u00eda web para conectar con la instancia USM Anywhere usando el c\u00f3digo de activaci\u00f3n.<\/p>\nAWS:<\/strong><\/h3>\n
\nAcceder a esta URL v\u00eda web para registrar el sensor con el c\u00f3digo de activaci\u00f3n y conectar con USM Anywhere.<\/p>\nAzure:<\/h3>\n
\nDurante el despliegue desde Marketplace, se guiar\u00e1 al usuario para configurar los par\u00e1metros de la VM.<\/p>\n
\nSubir el VHD a una cuenta de Azure Storage como Page Blob.
\nCrear una plantilla ARM (Azure Resource Manager) o utilizar la proporcionada por LevelBlue para desplegar la VM desde la imagen VHD personalizada.<\/p>\nGCP (Google Cloud Platform):<\/h3>\n
\nUtilizar la plantilla de Google Cloud Deployment Manager proporcionada por LevelBlue.<\/p>\n
\nUna vez desplegada la instancia del sensor, obtener su direcci\u00f3n IP externa.
\nAcceder a la IP del sensor v\u00eda web para registrarlo con el c\u00f3digo de activaci\u00f3n y conectar con la instancia de USM Anywhere.<\/p>\nD. Conexi\u00f3n Inicial y Configuraci\u00f3n<\/h3>\n
Registro del Sensor:<\/h3>\n
\nEl paso m\u00e1s importante es introducir el c\u00f3digo de activaci\u00f3n (obtenido previamente, tipo ‘C’ para el primer sensor o ‘S’ para adicionales) en el campo correspondiente.
\nAl hacer clic en “Start Setup”, se inicia el proceso de conexi\u00f3n. Si es el primer sensor, esto tambi\u00e9n desencadena el aprovisionamiento de la instancia de USM Anywhere del cliente en LevelBlue Secure Cloud, lo cual puede tardar unos 20 minutos.<\/p>\nConfiguraci\u00f3n de Credenciales del Administrador Inicial:<\/h3>\n
\nAl acceder a este enlace por primera vez, se solicitar\u00e1 al usuario que establezca la contrase\u00f1a para la cuenta de administrador por defecto de esa instancia de USM Anywhere.31<\/p>\n
\nLas contrase\u00f1as en USM Anywhere expiran cada 90 d\u00edas, y no se pueden reutilizar las \u00faltimas cuatro contrase\u00f1as.<\/p>\nPrimer Inicio de Sesi\u00f3n en USM Anywhere:<\/h3>\n
Configuraci\u00f3n de la Interfaz de Gesti\u00f3n:<\/h3>\n
\nDHCP: Por defecto, el sensor intentar\u00e1 obtener una IP v\u00eda DHCP. Si bien esto puede funcionar, no es la pr\u00e1ctica recomendada para un componente de infraestructura cr\u00edtico.<\/p>\nConfiguraci\u00f3n de Servidores DNS:<\/h3>\n
Reglas de Firewall:<\/h3>\n
\nTCP 7100:<\/strong> Para comunicaci\u00f3n continua con USM Anywhere.
\nUDP 53 (DNS):<\/strong> Para resoluci\u00f3n de nombres.
\nUDP 123 (NTP):<\/strong> Para sincronizaci\u00f3n horaria.<\/p>\nIV. Configuraci\u00f3n y Mejores Pr\u00e1cticas<\/h3>\n
\nSensor Details Page:<\/strong> Desde la p\u00e1gina de detalles de un sensor espec\u00edfico, se pueden iniciar escaneos de descubrimiento de red.
\nJob Scheduler:<\/strong> Se pueden programar trabajos recurrentes de descubrimiento de activos, incluyendo escaneos de red, escaneos de Active Directory (AD) y descubrimientos basados en API para entornos cloud.
\nIntegraci\u00f3n API (Cloud):<\/strong> Para entornos en la nube como AWS, Azure y GCP, USM Anywhere utiliza las APIs nativas de estos proveedores para descubrir activos (VMs, servicios PaaS, etc.) de forma din\u00e1mica y continua. Este es el m\u00e9todo preferido para entornos cloud, ya que proporciona informaci\u00f3n m\u00e1s rica y reduce el riesgo de duplicados.
\nEscaneos de Red (Network Scans):<\/strong> Los sensores pueden realizar escaneos activos de rangos de red para identificar hosts.
\nAdici\u00f3n Manual:<\/strong> Se pueden a\u00f1adir activos individualmente o mediante la importaci\u00f3n de un archivo CSV, lo cual es \u00fatil para activos que no son f\u00e1cilmente descubribles o para enriquecer la informaci\u00f3n de activos existentes.<\/p>\nB. Escaneos:<\/h3>\n
\nEscaneo de Vulnerabilidades (Vulnerability Scans): Buscan debilidades conocidas en los activos.<\/p>\nMejores Pr\u00e1cticas para Escaneos:<\/h3>\n
Frecuencia y Programaci\u00f3n:<\/strong><\/h3>\n
\nEspaciar los trabajos programados (al menos una hora, idealmente dos) y evitar la ejecuci\u00f3n simult\u00e1nea de m\u00faltiples tipos de escaneos.54<\/p>\n
\nEventos de Vulnerabilidad:<\/strong> Habilitar la generaci\u00f3n de System Events por cada vulnerabilidad descubierta puede generar una gran cantidad de eventos, especialmente en los escaneos iniciales. Se recomienda realizar algunos escaneos iniciales para obtener una l\u00ednea base antes de habilitar esta caracter\u00edstica.
\nConfiguraci\u00f3n de Escaneos Autenticados:<\/strong> Asegurar que los prerrequisitos para escaneos autenticados est\u00e9n cumplidos en los hosts destino:<\/p>\n
\nLinux\/macOS: Servidor OpenSSH instalado y accesible, y credenciales con los permisos necesarios (a menudo con capacidad de sudo).<\/p>\nC. Recolecci\u00f3n y Gesti\u00f3n de Logs<\/h3>\n
Proceso de Recolecci\u00f3n y Flujo de Datos:<\/h3>\n
Almacenamiento de Logs: USM Anywhere utiliza un sistema de almacenamiento de dos niveles:<\/h3>\n
\nCold Storage (Almacenamiento Fr\u00edo)<\/strong>: Los logs crudos se retienen a largo plazo en un “cold storage” seguro. Por defecto, USM Anywhere ofrece 12 meses de retenci\u00f3n en cold storage, con la posibilidad de extender esta capacidad.<\/p>\n
\nIntegridad WORM:<\/strong> USM Anywhere utiliza un enfoque de “Write Once, Read Many” (WORM) para el almacenamiento de logs, lo que significa que una vez que un log es escrito, no puede ser modificado ni eliminado (dentGas del periodo de retenci\u00f3n). Esto asegura la integridad de los logs para fines forenses y de auditor\u00eda.
\nDescarga de Logs Crudos:<\/strong> Los usuarios tienen la capacidad de descargar sus logs crudos en cualquier momento, por ejemplo, para an\u00e1lisis offline o para cumplir con solicitudes de auditor\u00eda.<\/p>\nD. Gesti\u00f3n de Reglas<\/h3>\n
Reglas de Correlaci\u00f3n:<\/h3>\n
Reglas de Orquestaci\u00f3n:<\/strong><\/h3>\n
\nReglas de Filtrado (Filtering Rules):<\/strong> Permiten que el sensor descarte ciertos eventos futuros que coincidan con la regla antes de que sean procesados o enviados a la nube.<\/p>\nMejores Pr\u00e1cticas para Reglas de Orquestaci\u00f3n:<\/h3>\n
\nOrden de Condiciones:<\/strong> Colocar la condici\u00f3n m\u00e1s restrictiva (la que filtra m\u00e1s) inmediatamente despu\u00e9s de plugin puede ahorrar tiempo de procesamiento, ya que las condiciones se eval\u00faan de izquierda a derecha.
\nOperadores Eficientes:<\/strong> Preferir operadores de comparaci\u00f3n exactos y sensibles a may\u00fasculas\/min\u00fasculas como Equals cuando sea posible, ya que consumen menos recursos que Contains o Match (que usa expresiones regulares).<\/p>\nE. Gesti\u00f3n de Usuarios y Roles (RBAC)<\/h3>\n
\nInvestigator (Investigador):<\/strong> Tiene permisos de solo lectura, pero adem\u00e1s puede generar informes.<\/p>\n
\nAnalyst (Analista):<\/strong> Puede ver y buscar en el sistema, programar trabajos (ej. escaneos), ejecutar acciones desde alarmas\/eventos\/vulnerabilidades (ej. iniciar un escaneo, obtener informaci\u00f3n forense, ejecutar respuestas de BlueApps), configurar reglas de orquestaci\u00f3n y credenciales de activos.<\/p>\nGesti\u00f3n de Usuarios:<\/h3>\n
\nAl crear un nuevo usuario, se debe proporcionar su direcci\u00f3n de correo electr\u00f3nico (que se usar\u00e1 para la verificaci\u00f3n y el establecimiento de la contrase\u00f1a inicial), nombre completo, el rol asignado y el estado de la cuenta (habilitado\/deshabilitado).<\/p>\nPol\u00edticas de Seguridad de Cuentas:<\/h3>\n
\nBloqueo de Cuentas:<\/strong> Las cuentas se bloquean autom\u00e1ticamente tras 45 d\u00edas de inactividad o despu\u00e9s de un n\u00famero espec\u00edfico de intentos fallidos de inicio de sesi\u00f3n (5 para USM Anywhere est\u00e1ndar, 3 para TDR for Gov, con un periodo de bloqueo de 30 minutos<\/em>).<\/p>\n
\nAutenticaci\u00f3n Multifactor (MFA):<\/strong> Se recomienda encarecidamente habilitar MFA para todas las cuentas de usuario para una capa adicional de seguridad. USM Anywhere soporta MFA a trav\u00e9s de aplicaciones de autenticaci\u00f3n est\u00e1ndar (ej. Google Authenticator, Microsoft Authenticator).<\/p>\n
\nRol<\/p>\nDescripci\u00f3n Breve<\/h3>\n
V. Maximizando el Valor de USM Anywhere: Estrategias Avanzadas<\/h3>\n
A. Optimizaci\u00f3n y Tuning<\/h4>\n
T\u00e9cnicas de Tuning:<\/h3>\n
\nCondiciones Espec\u00edficas:<\/strong> Refinar las condiciones de las reglas de alarma personalizadas para que sean lo m\u00e1s precisas posible, utilizando combinaciones de campos y operadores que minimicen las coincidencias no deseadas.<\/p>\nB. Investigaci\u00f3n de Alarmas y Respuesta a Incidentes (IR)USM <\/strong><\/h3>\n
Flujo de Trabajo de Investigaci\u00f3n:<\/h3>\n
Playbooks para Estandarizar y Automatizar Respuestas:<\/h3>\n