Gestión de la detección de amenazas

Editar en línea

IBM® Verify puede analizar y correlacionar patrones entre los distintos clientes para detectar indicadores de amenazas, como intentos de acceso por fuerza bruta, ataques de «credential stuffing» y desviaciones respecto a los patrones de uso habituales. Las alertas están disponibles como parte del flujo de eventos de auditoría y pueden utilizarse para adoptar medidas correctivas proactivas, como desactivar cuentas de usuario o clientes de aplicaciones que hayan sido objeto de un ataque.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM Verify consola de administración como administrador. Para obtener más información, consulte «Acceder a IBM Verify ».

Acerca de esta tarea

Verify La detección y corrección de amenazas detecta y corrige determinados tipos de tráfico IP malicioso. Aunque no garantiza que se detecten o eliminen el 100 % de las direcciones IP maliciosas, sí mejora tu seguridad y reduce los riesgos de seguridad.

Los administradores pueden configurar su entorno de Verify SaaS para que avise o bloquee de forma proactiva el tráfico de inicio de sesión derivado de ataques identificados. Los ataques pueden provenir de ataques dirigidos a su entorno específico de IBM VerifySaaS o de ataques detectados en otros inquilinos Verify de SaaS, en cuyo caso su inquilino puede adoptar medidas proactivas de mitigación.

IBM Verify detecta tráfico sospechoso con indicadores de ataque para generar alertas de amenazas. Un administrador puede revisar los incidentes mediante el informe de incidentes de seguridad y tomar medidas proactivas manuales, como bloquear a un usuario.

Procedimiento

  1. Selecciona «Seguridad » > «Detección de amenazas ».

    Si no existe ninguna política previa en el inquilino, haz clic en el botón «Crear política de amenazas» para configurar una nueva política de detección y corrección de amenazas.

    En el caso de las políticas existentes, la pantalla muestra los registros en formato tabular, ordenados por nombre, estado, descripción, tema, fecha de creación y fecha de última actualización.

    Haz clic en el Cuadrícula icono o Lista en el icono para cambiar entre la vista de cuadrícula y la vista de lista.

    Haz clic en el Abrir lista de opciones icono y selecciona «Habilitar» o «Eliminar» para la política creada. En la vista de lista, al pasar el cursor por encima de un registro aparece el Editar como borrador icono.

  2. Haz clic en el botón «Crear política de amenazas» para crear una nueva política de detección y corrección de amenazas. Para más información, consulte «Creación de una política de amenazas ».
  3. La política de amenazas creada se puede activar. Cuando una política está habilitada, el estado aparece como «Activo» en la pantalla principal de detección de amenazas. Consulte «Activación de la política de amenazas» para obtener más información.
    Nota: Solo se puede habilitar una política de detección de amenazas a la vez. Si se habilita una política de detección de amenazas mientras otra está activa, se deshabilita la política que está actualmente habilitada
  4. Una vez creada la política, se puede revisar y modificar antes de activarla. Consulte la sección «Edición de la política de amenazas» para obtener más información.