En la subpestaña Reglas de detección de SecurityCoach, puede crear y gestionar sus reglas de detección. Las reglas de detección identifican la actividad riesgosa que desea controlar con los datos proporcionados por sus proveedores integrados. Por ejemplo, puede querer detectar cuando sus usuarios visitan sitios web riesgosos o prohibidos, descargan archivos adjuntos maliciosos o hacen clic en enlaces de phishing.

Ofrecemos reglas de detección del sistema basadas en las políticas predeterminadas de los proveedores integrados. Estas reglas están habilitadas de manera predeterminada y no requieren configuración adicional. Para ver las reglas de detección del sistema disponibles, consulte nuestro artículo Reglas de detección del sistema por proveedor. También puede crear reglas de detección personalizadas para las políticas personalizadas que haya configurado en las plataformas de sus proveedores.

Si un usuario activa una regla de detección, se mostrará un evento en la línea de tiempo del usuario. También puede utilizar las reglas de detección para crear campañas de asesoramiento en tiempo real.

Para obtener información general sobre SecurityCoach, consulte nuestro Manual del producto SecurityCoach.

Prepararse para las reglas de detección

Antes de empezar a trabajar con sus reglas de detección, le recomendamos que siga los siguientes pasos:

1. Integre sus proveedores externos con SecurityCoach. Para obtener más información, consulte nuestra sección Configurar integraciones.
2. Agregue un método de entrega para sus SecurityTips. Para obtener más información, consulte nuestras Guías de integración de proveedores que aparecen a continuación:
   • Guía de integración de Microsoft Teams para SecurityCoach
   • Guía de integración de Slack para SecurityCoach
   • Guía de integración de Google Chat para SecurityCoach

Crear una regla de detección personalizada

Para usar reglas de detección personalizadas en SecurityCoach, primero debe configurar una política personalizada correspondiente en la plataforma de un proveedor de seguridad. Para que funcione correctamente, las reglas de detección personalizadas deben coincidir con las políticas personalizadas del proveedor de seguridad.

Para crear una regla de detección personalizada, siga los pasos que se detallan a continuación:

1. Inicie sesión en la consola de Capacitación en concientización sobre seguridad de KnowBe4 (KSAT) y navegue hacia la pestaña SecurityCoach > subpestaña Reglas de detección.
2. Haga clic en el botón + Crear regla de detección en la esquina superior derecha de la página.
3. Complete los campos de la página Crear nueva regla de detección. Para obtener más información sobre estos campos, consulte la captura de pantalla y la lista que aparecen a continuación:
   
   1. Nombre: Introduzca un nombre para su regla de detección.
   2. Habilitar regla de detección: Seleccione esta casilla de verificación para habilitar esta regla cuando se cree. Las reglas de detección deben estar habilitadas para agregar eventos a las líneas de tiempo de los usuarios y ser utilizadas para campañas de asesoramiento en tiempo real.

   3. Proveedor: Seleccione un proveedor para su regla de detección.

      Nota: Debe integrar los proveedores con SecurityCoach para que puedan aparecer en este menú desplegable. El proveedor de KSAT está integrado de manera predeterminada. Para obtener más información sobre la integración de proveedores, consulte nuestra sección Configurar integraciones.
   4. Categoría: Seleccione una categoría para su regla de detección.
   5. Nivel de riesgo: Seleccione un nivel de riesgo para su regla de detección.
   6. Descripción: Introduzca una descripción de su regla de detección. Por ejemplo, puede describir el propósito de la regla o incluir información que otros administradores puedan necesitar saber sobre la regla.
   7. Nuevo criterio: Cree un criterio para su regla de detección utilizando las tres listas desplegables. A continuación, haga clic en Agregar un criterio para agregar el criterio a su regla de detección. Si lo desea, puede repetir este proceso para agregar criterios adicionales para su regla de detección. Para obtener más información sobre los operadores que puede utilizar para el criterio, consulte la sección Operadores de reglas de detección a continuación.
   8. Activar esta regla cada vez que un usuario tenga un evento calificado: Seleccione esta opción para activar esta regla cada vez que un evento cumpla con los criterios establecidos.

   9. Activar esta regla cuando un usuario cumpla con el número mínimo de eventos calificados en la duración establecida (días): Seleccione esta opción para activar esta regla de detección solo cuando se cumplan los criterios un número determinado de veces durante un número determinado de días. Por ejemplo, puede utilizar esta configuración para activar la regla de detección para cualquier usuario que tenga tres eventos calificados en 30 días.

      Para obtener más información sobre los campos Número mínimo y Duración (días), consulte a continuación:

      • Número mínimo: Introduzca el número mínimo de eventos calificados que debe tener un usuario para activar esta regla.
      • Duración (días): Introduzca el número de días que un usuario tiene para cumplir el número mínimo para activar esta regla.
   10. Crear regla: Confirme su configuración y cree una nueva regla de detección.
   11. Cancelar: Cancele la creación de la regla de detección y regrese a la página anterior.
4. Haga clic en Crear regla.

Operadores de reglas de detección

Puede utilizar los siguientes operadores al crear un criterio de regla de detección.

Gestionar y editar las reglas de detección

Para gestionar y editar sus reglas de detección, vaya a la pestaña SecurityCoach > subpestaña Reglas de detección.

Para conocer más sobre las opciones de la subpestaña Reglas de detección, consulte la captura de pantalla y la lista que aparecen a continuación:

1. Estado: Haga clic en este menú desplegable para filtrar las reglas de detección por estado. Puede seleccionar Todas, Activas, Inactivas o Mantenimiento.
2. Tipo: Haga clic en este menú desplegable para filtrar las reglas de detección por tipo. Puede seleccionar Todas, Personalizadas o Sistema.
3. Proveedores: Haga clic en este menú desplegable para filtrar las reglas de detección por proveedor.
4. Categoría: Haga clic en este menú desplegable para filtrar las reglas de detección por categoría.
5. Buscar: Introduzca palabras clave en este campo para buscar una regla de detección específica.
6. Tabla: Esta tabla incluye una lista de sus reglas de detección. Para cada regla de detección, puede ver el Nombre, la Descripción de la regla, el Tipo, el Proveedor, la Categoría, la Fecha de modificación y las Acciones que puede realizar.
7. Cambiar: Utilice esta opción para habilitar o deshabilitar una regla de detección. Si esta opción está desactivada, la regla de detección está deshabilitada. Si esta opción está activada, la regla de detección está habilitada.
8. Ícono del ojo: haga clic en este ícono para ver la regla de detección del sistema. Cuando haga clic en este ícono, accederá a la página Ver regla de detección donde puede ver los detalles de la regla de detección del sistema.
9. Ícono más: haga clic en este ícono para crear una campaña de asesoramiento en tiempo real para la regla de detección. Cuando haga clic en este ícono, accederá a la página Crear nueva campaña de asesoramiento en tiempo real. Para obtener más información sobre las campañas de asesoramiento en tiempo real, consulte la Guía de campañas de asesoramiento en tiempo real.
10. Ícono de los tres puntos: haga clic en este ícono para abrir un menú desplegable con las siguientes opciones:
    

    • Editar: Haga clic en este ícono para abrir la página Editar regla de detección. En esta página, puede editar una regla de detección personalizada según sea necesario. Las opciones en color gris claro no pueden modificarse. A continuación, haga clic en el botón Guardar que se encuentra en la esquina inferior izquierda de la página para guardar los cambios.

      Nota: Si la regla de detección se clonó a partir de una regla de detección del sistema, también puede hacer clic en el botón Restaurar configuración predeterminada para devolver la regla a su configuración predeterminada.
    • Clonar: Haga clic en este ícono para clonar una regla de detección del sistema. Cuando haga clic en este ícono, accederá a la página Clonar regla de detección. En esta página, puede realizar cambios en la regla y guardarla como regla personalizada.
    • Eliminar: Haga clic en este ícono para eliminar una regla de detección personalizada.
11. + Crear regla de detección: Haga clic en este botón para crear una nueva regla de detección.

Ejemplo de regla de detección

Consulte la siguiente captura de pantalla para ver un ejemplo de regla de detección:

En este ejemplo, se agregaron los siguientes criterios a la regla de detección:

• La categoría de amenaza es reenvío masivo del usuario.
• La categoría de amenaza es actividad sospechosa de reenvío de correo electrónico.

Esta regla de detección se activará cuando se cumpla cualquiera de los dos criterios. Mediante esta configuración, el usuario debe realizar actividades sospechosas de reenvío de correos electrónicos o reenviar correos electrónicos de manera masiva para desencadenar esta regla.