Saltar al contenido

Respuesta a amenazas activas

La respuesta a amenazas activas (ATR) proporciona respuestas activadas por API para aislar automáticamente los hosts maliciosos en toda la red. De este modo se extiende la información sobre amenazas de Sophos MDR, Sophos XDR, Sophos NDR y soluciones de terceros a la capa de acceso, lo que impide rápidamente el movimiento lateral a través de cualquier host cableado, inalámbrico, gestionado o no gestionado.

Los puntos de acceso AP6 de Sophos registrados en Sophos Central con una licencia válida de soporte y servicios tienen acceso a ATR. La API de ATR ingiere datos de feeds de amenazas, lo que permite a los analistas de MDR y a los administradores de red aislar rápidamente los hosts maliciosos en toda la red.

Feed de amenazas de MDR/XDR

El feed de amenazas de MDR/XDR enumera los hosts aislados en todos los dispositivos Sophos Switch y puntos de acceso AP6 administrados en Sophos Central.

Puede hacer clic en el botón de selección situado junto a AP6 para activar o desactivar ATR para los puntos de acceso AP6.

Nota

La respuesta a amenazas activas (ATR) anula cualquier filtrado MAC configurado en los SSID del punto de acceso. No puede usar la lista de permitidos para permitir que las direcciones MAC sean bloqueadas por ATR.

Puede hacer clic en el botón de selección situado junto a Switch para activar o desactivar ATR para los dispositivos Sophos Switch.

Dispositivos aislados

Puede ver información sobre los dispositivos conectados a sus puntos de acceso.

La columna Dirección MAC enumera las direcciones MAC de los dispositivos.

Las columnas Switch y AP6 muestran el estado de los dispositivos con los siguientes estados:

  • Una marca de verificación verde Icono de marca de verificación verde. indica que un dispositivo está aislado.
  • Un guion Icono de guion. indica que un dispositivo no está aislado.

API de respuesta a amenazas activas

Las API de ATR están disponibles en Sophos Central. Las API permiten que las integraciones y los flujos de trabajo de terceros aíslen rápidamente la actividad maliciosa en la capa de acceso a la red. Para obtener información sobre cómo acceder y usar las API de ATR desde Sophos Central, consulte los siguientes enlaces: