Skip to main content
  • EN

AD_4nXeZzAYv5sZjf37kBvlDxjLLpdM8Qod9rZogJCYNhQYsr3WxXgP43JdkjHxt97lHlUZ3r0xnbIl6Pl0qL0YC1rQIBik5FVpVU8jJFPU5HCUD29OZa8Naew74TUG9E6tpqiObDyUknTZPI_MNKQ6U0HvD2-uk?key=D0zwTiLoxzN-CG4PE8ocCA

Netskope Global Technical Success (GTS)

IPS - Mejores prácticas y puntos importantes

 

Netskope Cloud Version - 117


 

Objetivo

Provide important information about IPS as well as best configuration practices

 

Pre-requisitos

Netskope Standard/Advanced Threat Protection with IPS enabled. If IPS is not currently enabled please get in touch with your CSM or Sales Team. No license is required.

 

Contexto

The customer wants to ensure that IPS is correctly configured

Configuración

  1. Puntos importantes sobre IPS (Sistema de Prevención de Intrusiones): La documentación detallada sobre cómo habilitar IPS se encuentra en este documento: https://docs.netskope.com/en/about-ips-settings/ 
  2. Para confirmar si el IPS está habilitado en tu tenant, navega a Settings > Threat Protection. Allí podrás ver si el IPS está activo actualmente.

 

AD_4nXdzbWhJge877alcfpz_8aCnVkSlAnue3ny4hVdOt8It9VuTxnSaVyFJ8vVHl8L1RFg3x3R1wubGlv_rlKlPJxKTy8b-dh3Ca_duT98Wwu2xzMl_tejkPnuw4ZTLFpuB1Ay_GZ53gcyI59L_HZg9BQsCjcxO?key=D0zwTiLoxzN-CG4PE8ocCA

  1. El IPS de Netskope tiene dos modos de acción: Modo de Bloqueo y Modo Sólo Alerta. Esto se puede ver fácilmente en la pestaña de Signature Overrides:

AD_4nXfNc7nFTYzc-kMFyltuCMY3DJQN-WkiDaN2J4AiOHdAT56w_2t56h7r3K9SyJyrlxCo1aIgwZsc_yJlWIA6hYHh5aDrVJxAr4BN6r7v0tXWYHWUKI_AbdpuwhCYz9c5A8tUO5f2PsC2W0fIF-5C6U-nv_o?key=D0zwTiLoxzN-CG4PE8ocCA

 

  1. Mejores prácticas a tener en cuenta:
     
  2. Se recomienda habilitar IPS en modo Solo Alerta durante un período de 2 a 4 semanas. Durante este tiempo, se recomienda monitorear las alertas generadas por el motor IPS para observar el comportamiento del tráfico de los usuarios. Es crucial confirmar que estas alertas son precisas y no falsos positivos. Si ocurre un falso positivo, después de un análisis manual cuidadoso por parte del administrador de Netskope, se recomienda abrir un ticket de soporte con Netskope para reportar este comportamiento y así poder hacer los ajustes internos necesarios. Después de este período, se recomienda cambiar el IPS a Modo de Bloqueo para garantizar la protección de la navegación de los usuarios a través de las firmas.

 

  1. El IPS de Netskope no requiere configuración manual de políticas, ni en tiempo real ni en la protección de API. Opera basándose en firmas controladas internamente y no necesita configuración adicional por parte de los usuarios.

 

  1. Actualmente, la importación de firmas de IPS personalizadas por parte de los usuarios no está soportada. Sin embargo, a través de un ticket de soporte, es posible solicitar la inclusión de firmas personalizadas si es necesario.

 

  1. Por favor, consulta el siguiente enlace para obtener información valiosa sobre la cobertura actual de firmas IPS: https://threatlibrary.netskopethreatlabs.com/. En caso de duda, puedes buscar firmas específicas utilizando el campo "filtro" para confirmar nuestra cobertura.

AD_4nXcQhBGnnqOWSwCxM5DJbrdFsxka3RHLfJD3xldSCE5Y8G8muDFrNgyQfySUnGgRWp8zW3GbfJNaR8G8rSKClOICK8fd_kvUQvZtjc9gip9jKHBAU5wp1u8XStsxZ1tR1WaolR62XgbP7q5SwA3u8_X9m_MH?key=D0zwTiLoxzN-CG4PE8ocCA

 

  1. Además de no requerir políticas para el funcionamiento de IPS, no se necesita ningún otro perfil de Protección contra Amenazas (Threat Protection) configurable en Netskope.

 

  1. Recuerda que la opción de anular firmas (Signature Override) solo debe utilizarse en casos de uso específicos que lo justifiquen. Como buena práctica, si encuentras algún problema con las firmas, es aconsejable escalar al equipo de soporte de Netskope primero antes de configurar una anulación que pueda cambiar el comportamiento predeterminado de una firma. Esto permite validar posibles ajustes internos.
     
  2. Para realizar pruebas de IPS, se recomienda tener una máquina aislada donde puedas ejecutar acciones relacionadas con las firmas específicas que deseas probar. Una URL que podría generar alertas es el sitio de descarga del archivo de prueba de malware EICAR: https://www.eicar.org/download-anti-malware-testfile/

 

  1. En caso de que utilices alguna de las siguientes herramientas de IA, por favor agrégalas a la configuración de la Lista de Permisos: Añade los siguientes dominios a la Lista de Permisos de IPS: openai.com, *.openai.com, cloudfront.com, *.cloudfront.com, gstatic.com, *.gstatic.com, chat.openai.com, *.chat.openai.com, widget.intercom.io 

 

Términos y condiciones

  • Toda la información documentada pasa por pruebas y verificación para garantizar su exactitud.
  • En el futuro, es posible que el proveedor realice cambios en la funcionalidad de la aplicación. Si dichos cambios son notificados, actualizaremos la documentación de inmediato para reflejarlos.

Notas

  • Este artículo ha sido redactado por Netskope Global Technical Success (GTS).
  • Para cualquier consulta adicional relacionada con este artículo, por favor contacte a Netskope GTS enviando un caso de soporte con el "Case Type – How To Questions".

 

Be the first to reply!

Badges Winner

Show all badges

Not finding what you're looking for?

Don't be shy and let us know about your challenge.

Ask your question here!
Terms & ConditionsCookie settings