Access Gate supervisa el tráfico que observa y genera una alerta cuando algo parece anómalo: una regla activada en un flujo de enclave, un servicio inesperado en una zona, un dispositivo que de repente deja de comunicarse. No es necesario crear contenido de detección desde cero: el producto incluye una biblioteca curada de reglas ajustadas para redes industriales e híbridas.
Qué cubre la detección
Access Gate combina tres fuentes de señal:
| Fuente | Qué detecta | Origen de la señal |
|---|---|---|
| Reglas de flujo (Snort) | Cargas maliciosas conocidas y abuso de protocolo en el tráfico de enclave | Inspección en vivo de flujos en interfaces de superposición |
| Biblioteca de alertas | Errores de configuración operativos comunes y problemas de higiene de seguridad | Se incluye con el producto, habilitada por defecto |
| Zonas de red | Actividad que cruza un límite de confianza que no debería cruzar | Zonas que usted define en Configuración |
Cada señal aparece en la misma vista de Alertas, con contexto suficiente (activo, usuario, enclave, flujo) para clasificarla sin necesidad de cambiar entre herramientas.
Biblioteca de alertas integrada
El producto incluye una lista predefinida de alertas por defecto. Cubren situaciones que conviene conocer desde el primer día:
- Un nuevo activo apareció en una zona supervisada.
- Un dispositivo que antes se comunicaba dejó de hacerlo (detección de activo ausente).
- Un servicio comenzó a escuchar en un puerto en el que nunca lo había hecho.
- Un flujo cruzó un límite de zona que debería haber estado aislado.
- Una sesión TLS retrocedió a un cifrado débil.
Puede silenciar o ajustar cualquier alerta de la biblioteca desde la página de Alertas.
Configurar reglas
Cómo habilitar reglas específicas en su Access Gate
- Vaya a Reglas.
- Active o desactive [Regla].
Los resultados de las reglas aparecen en la línea de tiempo de actividad del enclave y en la vista global de Alertas.
Cómo reenviar alertas a un SIEM
- Vaya a Reglas.
- Haga clic en Configurar reenvío en la esquina superior derecha.
- Introduzca la combinación ip:puerto específica que recibirá el flujo rsyslog de alertas.
Zonas de red
Las zonas son la forma de indicar a Access Gate qué partes de la red deben o no deben comunicarse entre sí. Una vez definida una zona, cualquier flujo que cruce un límite se puntúa y registra, y las reglas pueden activarse por el cruce en sí, no solo por la carga útil.
Consulte Zonas de red para la detección para saber cómo definir zonas y asociarles políticas.