En la subpestaña Reglas de detección de SecurityCoach, puede crear y gestionar sus reglas de detección. Las reglas de detección identifican la actividad de riesgo de la que quiere realizar un seguimiento mediante los datos proporcionados por sus proveedores integrados. Por ejemplo, es posible que quiera detectar si sus usuarios visitan sitios web de riesgo o prohibidos, descargan archivos adjuntos o hacen clic en enlaces de phishing.

Proporcionamos reglas de detección del sistema que se basan en las políticas predeterminadas de los proveedores integrados. Estas reglas están habilitadas de forma predeterminada y no requieren ninguna configuración adicional. Para consultar las reglas de detección del sistema disponibles, consulte nuestro artículo Reglas de detección del sistema por proveedor. También puede crear reglas de detección personalizadas para políticas personalizadas que haya establecido en las plataformas de sus proveedores.

Si un usuario activa una regla de detección, se mostrará un evento en la cronología del usuario. También puede utilizar las reglas de detección para crear campañas de ayuda en tiempo real.

Para obtener información general sobre SecurityCoach, consulte nuestro Manual de producto de SecurityCoach.

Preparación para las reglas de detección

Antes de empezar a trabajar con sus reglas de detección, le recomendamos que lleve a cabo los siguientes pasos:

1. Integre sus proveedores externos en SecurityCoach. Para obtener más información, consulte la sección Configuración de integraciones.
2. Añada un método de entrega para sus SecurityTips. Para obtener más información, consulte nuestras Guías de integraciones de proveedor a continuación:
   • Guía de integración de Microsoft Teams para SecurityCoach
   • Guía de integración de Slack para SecurityCoach
   • Guía de integración de Google Chat para SecurityCoach

Creación de una regla de detección personalizada

Para poder utilizar reglas de detección personalizadas en SecurityCoach, primero debe configurar una política personalizada correspondiente en la plataforma de un proveedor de seguridad. Para que funcionen correctamente, las reglas de detección personalizadas deben coincidir con las políticas personalizadas del proveedor de seguridad.

Para crear una regla de detección personalizada, lleve a cabo los siguientes pasos:

1. Inicie sesión en la consola de formación sobre concienciación en materia de seguridad de KnowBe4 (KSAT) y diríjase a la pestaña SecurityCoach > subpestaña Reglas de detección.
2. Haga clic en el botón + Crear regla de detección en la esquina superior derecha de la página.
3. Rellene los campos de la página Crear una regla de detección nueva. Para obtener más información sobre estos campos, consulte la captura de pantalla y la lista que aparecen a continuación:
   
   1. Nombre: escriba un nombre para su regla de detección.
   2. Habilitar regla de detección: seleccione esta casilla para habilitar esta regla cuando se haya creado. Las reglas de detección deben habilitarse para añadir eventos a las cronologías de los usuarios y utilizarlas en las campañas de ayuda en tiempo real.

   3. Proveedor: seleccione un proveedor para su regla de detección.

      Nota: Para que los proveedores aparezcan en este menú desplegable, antes debe integrarlos en SecurityCoach. El proveedor KSAT está integrado de forma predeterminada. Para obtener más información sobre las integraciones de proveedores, consulte Configuración de integraciones.
   4. Categoría: seleccione una categoría para su regla de detección.
   5. Nivel de riesgo: seleccione un nivel de riesgo para su regla de detección.
   6. Descripción: escriba una descripción de su regla de detección. Por ejemplo, puede describir el objetivo de la regla o incluir información sobre la regla que otros administradores deban conocer.
   7. Nuevo criterio: cree un criterio para su regla de detección utilizando las tres listas desplegables. A continuación, haga clic en Añadir criterio para incluir el criterio en su regla de detección. Si así lo desea, puede repetir este proceso para añadir criterios adicionales a su regla de detección. Para obtener más información sobre los operadores que puede utilizar para los criterios, consulte la sección Operadores de reglas de detección a continuación.
   8. Activar esta regla cuando un usuario disponga de un evento admisible: seleccione esta opción para activar esta regla cada vez que un evento cumpla los criterios establecidos.

   9. Activar esta regla cuando un usuario cumpla el recuento mínimo de eventos admisibles dentro de la duración establecida (días): seleccione esta opción para activar esta regla de detección solo cuando se cumplan los criterios un número determinado de veces durante un número de días establecido. Por ejemplo, puede utilizar esta configuración para activar la regla de detección para los usuarios que tengan tres eventos admisibles en un plazo de 30 días.

      Para obtener más información sobre los campos Recuento mínimo y Duración (días), consulte lo siguiente:

      • Recuento mínimo: introduzca el número mínimo de eventos admisibles que debe tener un usuario para activar esta regla.
      • Duración (días): introduzca el número de días que un usuario debe cumplir el recuento mínimo para activar esta regla.
   10. Crear regla: confirme la configuración y cree la nueva regla de detección.
   11. Cancelar: cancele la creación de la regla de detección y vuelva a la página anterior.
4. Haga clic en Crear regla.

Operadores de reglas de detección

Puede utilizar los siguientes operadores a la hora de crear un criterio de reglas de detección.

Gestión y edición de las reglas de detección

Para gestionar y editar las reglas de detección, diríjase a la pestaña SecurityCoach > subpestaña Reglas de detección.

Para obtener más información sobre las opciones disponibles en la subpestaña Reglas de detección, consulte la captura de pantalla y la lista que se muestran a continuación:

1. Estado: haga clic en este menú desplegable para filtrar las reglas de detección por estado. Puede seleccionar Todas, Activa, Inactiva o En mantenimiento.
2. Tipo: haga clic en este menú desplegable para filtrar las reglas de detección por tipo. Puede seleccionar Todas, Personalizada o Sistema.
3. Proveedores: haga clic en este menú desplegable para filtrar las reglas de detección por proveedor.
4. Categoría: haga clic en este menú desplegable para filtrar las reglas de detección por categoría.
5. Buscar: escriba palabras clave en este campo para buscar una regla de detección específica.
6. Tabla: esta tabla incluye una lista de sus reglas de detección. Para cada regla de detección, puede ver el Nombre, la Descripción de la regla, el Tipo, el Proveedor, la Categoría, la Fecha de modificación y las Acciones disponibles.
7. Cambiar: utilice este botón de alternancia para habilitar o deshabilitar una regla de detección. Si el botón está desactivado, se deshabilita la regla de detección. Si el botón está activado, se habilita la regla de detección.
8. Icono del ojo: haga clic en este icono para ver la regla de detección del sistema. Al hacer clic en este icono, se le redirigirá a la página Ver regla de detección, en la que podrá ver la información de la regla de detección del sistema.
9. Símbolo del más: haga clic en este símbolo para crear una campaña de ayuda en tiempo real para la regla de detección. Cuando haga clic en este símbolo, se le redirigirá a la página Crear nueva campaña de ayuda en tiempo real. Para obtener más información sobre las campañas de ayuda en tiempo real, consulte la Guía sobre las campañas de ayuda en tiempo real.
10. Icono de los tres puntos: haga clic en este icono para abrir un menú desplegable con las siguientes opciones:
    

    • Editar: haga clic en este icono para abrir la página Editar regla de detección. En ella, puede editar una regla de detección personalizada según sus necesidades. Las opciones atenuadas no se pueden cambiar. A continuación, haga clic en el botón Guardar en la esquina inferior izquierda de la página para guardar los cambios.

      Nota:Si la regla de detección se clonó a partir de una regla de sistema, también puede hacer clic en el botón Restaurar la configuración predeterminada para restaurar la configuración predeterminada de la regla.
    • Clonar: haga clic en este icono para clonar una regla de detección del sistema. Al hacer clic en este icono, se le redirigirá a la página Clonar regla de detección. En ella, puede modificar la regla y guardarla como regla personalizada.
    • Eliminar: haga clic en este icono para eliminar una regla de detección personalizada.
11. + Crear regla de detección: haga clic en este botón para crear una nueva regla de detección.

Ejemplo de regla de detección

Consulte la siguiente captura de pantalla para ver un ejemplo de regla de detección:

En este ejemplo, se añadieron los siguientes criterios a la regla de detección:

• Categoría de amenaza es Reenvío en masa por parte del usuario.
• Categoría de amenaza es Actividad sospechosa de reenvío de correos electrónicos.

Esta regla de detección se activará cuando se cumpla cualquiera de los criterios. Con esta configuración, un usuario tendría que presentar una actividad sospechosa de reenvío de correos electrónicos o estar reenviando correos electrónicos en masa para que se active esta regla.