Workspace ONE Trust Network

Workspace ONE Trust Network integra datos de amenazas de soluciones de seguridad que incluyen soluciones de detección y respuesta de endpoints (EDR), soluciones de Mobile Threat Defense (MTD) y agentes de seguridad de acceso a la nube (CASB). Esta integración proporciona a los usuarios de Workspace ONE Intelligence información sobre los riesgos para los dispositivos y los usuarios de su entorno. Consulte cómo registrar su sistema de Trust Network específico con Intelligence.

Workspace ONE Intelligence muestra los datos de eventos para el análisis en el módulo de Resumen de amenazas del panel de control Riesgo de seguridad.

Consideraciones en cuanto a FedRAMP

La publicación especial 800-47 Rev.1 del de NIST: Administrar la seguridad de los intercambios de información define una interconexión de sistema como la conexión directa de dos o más sistemas de TI con el fin de compartir datos y otros recursos de información.

La conexión de sistemas de TI es una capacidad configurada por el cliente. Antes de conectar los sistemas de TI en Workspace ONE Intelligence, analice los riesgos de conectar sistemas de información no acreditados por FedRAMP con su encargado de las autorizaciones. Workspace ONE en AWS GovCloud y, por extensión, Workspace ONE Intelligence es un sistema de información de nivel moderado según la acreditación FedRAMP. Cuando conecte sistemas de información a otros sistemas con diferentes requisitos y controles de seguridad, tenga en cuenta los riesgos asociados.

Póngase en contacto con la línea de soporte federal (877-869-2730, OPCIÓN 2) o envíe una solicitud de soporte mediante My Workspace ONE para obtener más detalles y habilitar las conexiones de terceros controladas por el cliente a otros sistemas.

¿Cómo se integra un sistema?

Para integrar su sistema de Trust Network, realice estas tareas generales.

Aviso: Si no ve ningún dato identificado en Resumen de amenazas después de haber configurado el servicio en Integraciones, no significa que la configuración haya quedado dañada. Puede sugerir que no se han detectado eventos del servicio de Trust Network.

En Workspace ONE Intelligence, registre el servicio compatible con Trust Network en Integraciones.
Vea, analice y trabaje con datos en el módulo de Resumen de amenazas del panel de control Riesgo de seguridad.
En Flujos de trabajo, cree un flujo de trabajo con activadores de Trust Network para actuar en función de los datos de inteligencia sobre amenazas con las acciones disponibles.

Categorías de resumen de amenazas para Trust Network

El módulo Resumen de amenazas agrega y muestra los eventos recopilados de los servicios de Trust Network. Puede encontrar datos específicos por fecha, recuento de eventos y categorías de amenazas. Workspace ONE Intelligence clasifica las amenazas en varios grupos para ayudar a simplificar el análisis y la corrección.

Descripciones de categorías de amenazas

Categorías de amenazas	Descripción
Anomalía	Amenazas que implican un comportamiento de aplicación, dispositivo o red inusual, sospechoso o anómalo. Algunos ejemplos son aplicaciones que introducen archivos ejecutables o una elevación de privilegios.
Credencial	Amenazas que implican el intento de usar credenciales comprometidas de forma malintencionada. Algunos ejemplos son la lectura de credenciales desde un proceso de seguridad y la ejecución de una aplicación mediante credenciales del sistema.
Dispositivo	Amenazas que implican el uso de un dispositivo u otro componente de endpoint con intenciones malintencionadas. Un ejemplo es una aplicación no autorizada que accede a un micrófono o a una cámara.
Exfiltración	Amenazas que implican un intento de realizar una transferencia de datos no autorizada. Esta transferencia puede realizarse de forma manual y la puede llevar a cabo una persona que tenga acceso físico a un equipo. También puede automatizarse y realizarse a través de una programación malintencionada a través de una red.
Vulnerabilidades	Amenazas que implican aprovechar un error o una vulnerabilidad en una aplicación o un sistema, lo que provoca un comportamiento imprevisto de esa aplicación o sistema. Algunos ejemplos son las inserciones de código y los habilitadores de raíz.
Host web malintencionado	Amenazas que implican un intento de acceder a un dominio o sitio malintencionado conocido. Algunos ejemplos serían spam, phishing, malware y cryptojacking.
Malware	Amenazas que incluyen software malintencionado, diseñadas a propósito para dañar un endpoint, un dispositivo o una red. Algunos ejemplos son ransomware, registrador de pulsaciones de teclas y spyware.
Red	Amenazas que implican un método o proceso que se utiliza para intentar poner en peligro la seguridad de la red. Algunos ejemplos son ataques de tipo “Man in the middle”, “Port scan” y protocolos de red inusuales.
Otro	Amenazas que no se ajustan a una categoría.
de cumplimiento	Las amenazas que implican un dispositivo o un endpoint que infringen la política de la empresa. Algunos ejemplos son la instalación de una aplicación de la lista de no admitidos y el uso de un dispositivo alterado (jailbreak) o con acceso root.

Workspace ONE Mobile Threat Defense

Integre el servicio Workspace ONE Mobile Threat Defense con Workspace ONE Intelligence para que Workspace ONE Intelligence pueda acceder a los datos de inteligencia sobre amenazas y mostrarlos para su análisis.

Para registrar Workspace ONE Mobile Threat Defense con Workspace ONE Intelligence, introduzca la clave de aplicación generada desde la consola de Workspace ONE Mobile Threat Defense.

Requisitos previos

Utilice la versión de Workspace ONE UEM Console necesaria para Workspace ONE Intelligence. Para obtener más información, consulte Versión de Workspace ONE UEM Console requerida.
Utilice Workspace One Mobile Threat Defense con la versión compatible de Workspace ONE Intelligent Hub o las aplicaciones cliente de Lookout for Work para iOS o Android.
Integre la consola de Workspace One Mobile Threat Defense con Workspace ONE UEM. Para obtener información sobre esta integración, consulte Integrar Workspace ONE Mobile Threat Defense con Workspace ONE UEM. Debe integrar estos sistemas antes de poder utilizar los datos de inteligencia sobre amenazas de la consola de Workspace ONE Mobile Threat Defense en Workspace ONE Intelligence.

Procedimiento

Inicie sesión en la consola de Workspace ONE Mobile Threat Defense para generar una clave para usarla en Workspace ONE Intelligence.
1. Vaya a Sistema > Claves de aplicación.
2. Seleccione Generar clave para generar una clave de aplicación.
3. Asigne una etiqueta a esta clave y, a continuación, cópiela en el panel de control.
4. Guarde la clave en un lugar seguro, ya que tendrá que introducirla en Workspace ONE Intelligence.
Inicie sesión en Workspace ONE Intelligence para autorizar la comunicación con Workspace ONE Mobile Threat Defense.
1. Vaya a Integraciones > Orígenes de datos > Workspace ONE Mobile Threat Defense > Configurar > Comenzar.
  Para acceder a las credenciales introducidas anteriormente, seleccione los puntos suspensivos (…) en la parte inferior derecha de la tarjeta y seleccione Editar.
2. En el área Detalles de autorización, introduzca la información indicada para una conexión correcta.
  - URL base: introduzca la URL del endpoint de API para Workspace ONE Mobile Threat Defense, que es https://api.lookout.com.
  - Clave de aplicación: introduzca la clave de aplicación que generó en la consola de Workspace ONE Mobile Threat Defense. Este valor establece la comunicación entre Workspace ONE Intelligence y el servicio Workspace ONE Mobile Threat Defense.
3. Para finalizar la configuración, seleccione Autorizar.

BETTER Mobile

La integración entre Workspace ONE Intelligence y BETTER Mobile implica copiar los datos generados desde la consola de Workspace ONE Intelligence y agregarlos a su portal de administrador de BETTER Mobile. Esta acción autoriza a Workspace ONE Intelligence a introducir datos de amenazas de Intelligence de BETTER Mobile y a mostrarlos para su análisis.

Esta integración funciona con las plataformas Android e iOS.

Requisitos previos

Antes de poder registrar BETTER Mobile, integre BETTER Mobile y sus entornos de Workspace ONE UEM. Para obtener más información, acceda al contenido de Configurar integración en el sitio de documentación de seguridad de BETTER Mobile.

Utilice Better MTD console 3.x o una versión posterior para llevar a cabo la integración.

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > BETTER Mobile > Configurar > Comenzar.
Introduzca un correo electrónico en la pestaña Detalles de configuración de socio de red. Si hay algún problema de conexión entre Check Point y Workspace ONE Intelligence, el sistema lo notificará a esta dirección de correo electrónico.
En la pestaña Credenciales de socio de red, copie la información generada y añádala a su portal de administrador de BETTER Mobile.
- Nombre de host
- Puerto
- Token de integración
Para finalizar la configuración, seleccione Hecho.

Carbon Black

Introduzca los datos que pertenecen al conector de Carbon Black para el agente de CB Defense de modo que Workspace ONE Intelligence pueda acceder a los datos sobre amenazas de Intelligence y mostrarlos para su análisis.

Para registrar Carbon Black con Workspace ONE Intelligence, introduzca las claves y los ID del conector de la API de Carbon Black y el conector de SIEM de Carbon Black.

Para obtener información acerca de cómo generar claves de API, suscríbase a las notificaciones de eventos de Carbon Black y la URL del endpoint de la API de su instancia de Carbon Black, acceda al tema Acceso a la API en el sitio Carbon Black /Desarrolladores.

Controles de privacidad y regiones geográficas

Carbon Black cuenta con controles de privacidad que limitan el reenvío de datos fuera de la región en la que reside el tenant de Carbon Black. Para una integración correcta con Workspace ONE Intelligence, asegúrese de que el tenant de Carbon Black y la instancia de Workspace ONE Intelligence se encuentren ubicados dentro de la misma región geográfica.

Busque las regiones de Workspace ONE Intelligence que aparecen en Agregar URL a la lista de permitidos por región. La tabla muestra las regiones de Carbon Black asignadas a las regiones de Workspace ONE Intelligence.

URL de productos de nube de Carbon Black	Nombre de regiones de AWS de Carbon Black	Región de AWS de Carbon Black	Región de AWS de Workspace ONE Intelligence
https://dashboard.confer.net https://defense.conferdeploy.net https://defense-prod05.conferdeploy.net	Este de EE. UU. (Norte de Virginia)	us-east-1	Los clientes de Carbon Black us-east-1 pueden asignarse a las regiones de Norteamérica de Workspace ONE Intelligence (por ejemplo, NA1, Sandbox y CA1).
https://defense-eu.conferdeploy.net	Europa (Frankfurt)	eu-central-1	Los clientes de Carbon Black eu-central-1 pueden asignarse a las regiones de Europa de Workspace ONE Intelligence (por ejemplo, EU1 y EU2).
https://ew2.carbonblackcloud.vmware.com	Europa (Londres)	eu-west-2	Los clientes de Carbon Black eu-west-2 pueden asignarse a las regiones de Londres de Workspace ONE Intelligence (por ejemplo, UK1).
https://defense-prodnrt.conferdeploy.net	Asia-Pacífico (Tokio)	ap-northwest-1	Los clientes de Carbon Black ap-northwest-1 pueden asignarse a la región de Asia-Pacífico Tokio de Workspace ONE Intelligence (por ejemplo, AP1).
https://defense-prodsyd.conferdeploy.net	Asia-Pacífico (Sídney)	ap-southeast-2	Los clientes de Carbon Black ap-southeast-2 pueden asignarse a la región de Asia-Pacífico Sídney de Workspace ONE Intelligence (por ejemplo, AU1).

Ejemplos de controles de privacidad

Un cliente que accede a la consola de Carbon Black del este de EE. UU. se puede integrar con instancias de Workspace ONE Intelligence ubicadas dentro de las regiones de Norteamérica NA1, CA1 y Sandbox.
Los clientes que utilizan la consola de Carbon Black de Fráncfort pueden integrarse con las instancias de Workspace ONE Intelligence ubicadas en las regiones centroeuropeas EU1 y EU2.
Los clientes que utilizan la consola de Carbon Black de Londres pueden integrarse con las instancias de Workspace ONE Intelligence ubicadas en la región de Europa occidental UK1.
Los clientes que utilizan la consola de Carbon Black de Tokio pueden integrarse con las instancias de Workspace ONE Intelligence ubicadas en de la región del noroeste de Asia-Pacífico AP1.
Los clientes que utilizan la consola de Carbon Black de Sídney pueden integrarse con las instancias de Workspace ONE Intelligence ubicadas en de la región del sudeste de Asia-Pacífico AU1.
Dado que las integraciones regionales se bloquean debido a los controles de privacidad, un tenant de Carbon Black ubicado en eu-central-1 no puede transferir datos a una instancia de Workspace ONE Intelligence ubicada en NA1.

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > Carbon Black > Configurar > Comenzar. Para acceder a las credenciales introducidas anteriormente, seleccione Editar para editar Carbon Black.
En el área Proporcionar credenciales, introduzca la información para que la conexión se realice correctamente.
- URL base: Introduzca la URL del endpoint de la API de su instancia de Carbon Black de forma que Workspace ONE Intelligence pueda acceder a la misma. Esta cadena empieza por https://.
- Clave de API: introduzca el valor que otorga a Workspace ONE Intelligence permiso para autenticarse con la instancia de Carbon Black. Esta clave con ID proporciona acceso a las API de Carbon Black, excepto a las API de notificación.
- Clave de SIEM: introduzca el valor que otorga a Workspace ONE Intelligence permiso para enviar notificaciones y alertas a los dispositivos que forman parte de los sistemas de SIEM. Esta clave proporciona acceso a todas las API de notificación de Carbon Black.
- ID de conector de API: introduzca el valor que funciona con la clave de API para autenticarse con la instancia de Carbon Black. Esta ID con clave proporciona acceso a las API de Carbon Black, excepto a las API de notificación.
- ID de conector de SIEM: introduzca el valor que funciona con la clave de SIEM para otorgar a Workspace ONE Intelligence acceso a las API de Carbon Black para enviar notificaciones.
Para finalizar la configuración, seleccione Autorizar.

Check Point

La integración entre Workspace ONE Intelligence y Harmony Mobile, la solución Mobile Threat Defense de Check Point, implica la copia de los datos generados desde Workspace ONE Intelligence para añadirlos a su portal de administrador de Check Point. Esta acción autoriza a Workspace ONE Intelligence a introducir datos de amenazas de Intelligence de Check Point y a mostrarlos para su análisis.

Esta integración funciona con las plataformas Android e iOS.

Requisitos previos

Antes de poder usar esta integración de Trust Network, debe integrar sus entornos de Check Point Harmony Mobile y de Workspace ONE UEM. Para obtener más información, acceda a Integración con Workspace ONE UEM.

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > Check Point > Configurar > Comenzar.
Introduzca un correo electrónico en la pestaña Detalles de configuración de socio de red. Si hay algún problema de conexión entre Check Point y Workspace ONE Intelligence, el sistema lo notificará a esta dirección de correo electrónico.
En la pestaña Credenciales de socios de red, copie la información generada y agréguela al portal de administrador de Harmony Mobile en Ajustes > Syslog > Workspace ONE Intelligence.
- Nombre de host
- Puerto
- Token de integración
Para finalizar la configuración, seleccione Hecho.

Lookout for Work

Introduzca los datos que pertenecen al servicio de Lookout for Work para que Workspace ONE Intelligence pueda acceder a los datos de Intelligence sobre amenazas y mostrarlos para su análisis.

Para registrar Lookout for Work en Workspace ONE Intelligence, introduzca la clave de aplicación configurada en la consola de Lookout for Work.

Requisitos previos

Utilice la versión de Workspace ONE UEM Console necesaria para Workspace ONE Intelligence.
Utilice la versión del cliente 5.10.0 o una versión más reciente de Lookout for Work para iOS o Android.

Integre Lookout for Work y Workspace ONE UEM de forma que Workspace ONE UEM pueda administrar la aplicación Lookout for Work. Para obtener información sobre esta integración, visite el sitio de soporte técnico de la empresa Lookout para ver la guía Deploying Lookout with VMware AirWatch.

Debe integrar estos sistemas antes de que pueda usar los datos de Intelligence sobre amenazas de Lookout for Work en Workspace ONE Intelligence.

Como parte de la integración, se agregan los parámetros de configuración de la aplicación al registro de la aplicación de Lookout for Work en Workspace ONE UEM Console.

Clave de configuración: Obtenga este valor de los metadatos de la aplicación.
Tipo de valor: Seleccione Cadena.
Valor de configuración: Introduzca ambos parámetros de forma exacta. Si se escribe incorrectamente un parámetro o se agrega un corchete donde no es necesario, el parámetro no funciona.
- DeviceUniqueIdentifier
- DeviceUUID}

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > Lookout > Configurar > Comenzar. Para acceder a las credenciales introducidas anteriormente, seleccione Editar para editar Lookout for Work.
En el área Proporcionar credenciales, introduzca la información para que la conexión se realice correctamente.
- URL base: introduzca la URL del endpoint de la API de Lookout for Work, que es https://api.lookout.com.
- Clave de aplicación: introduzca el valor que establece la comunicación entre Workspace ONE Intelligence y Lookout for Work.
Para finalizar la configuración, seleccione Autorizar.

Netskope

Introduzca los datos que pertenecen a su instancia de Netskope para que Workspace ONE Intelligence pueda acceder a los datos de amenazas de seguridad en la nube y mostrarlos para su análisis.

Para registrar Netskope con Workspace ONE Intelligence, introduzca las claves de la aplicación Netskope establecidas en la consola de Netskope.

Requisitos previos

Integre Netskope y Workspace ONE UEM de forma que Workspace ONE UEM pueda administrar la aplicación Netskope.

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > Netskope > Configurar > Comenzar. Para acceder a las credenciales introducidas anteriormente, seleccione Editar Netskope para modificar las opciones.
En el área de Permisos de conexión, vea los datos a los que Workspace ONE Intelligence desea acceder.
En el área Proporcionar credenciales, introduzca la información para que la conexión se realice correctamente.
- URL base: introduzca la URL de Netskope para que Workspace ONE Intelligence pueda acceder a la misma. Esta cadena empieza por https://.
- Clave de aplicación: introduzca el valor que establece la comunicación entre Workspace ONE Intelligence y Netskope.
Para finalizar la configuración, seleccione Autorizar.

Pradeo

La integración entre Workspace ONE Intelligence y Pradeo Security implica copiar los datos generados desde Workspace ONE Intelligence y agregarlos a su portal de administrador de Pradeo. Esta acción autoriza a Workspace ONE Intelligence a introducir datos de amenazas de Intelligence de Pradeo Security y a mostrarlos para su análisis.

Esta integración funciona con las plataformas Android e iOS.

Requisitos previos

Antes de poder usar esta integración de Trust Network, debe integrar sus entornos de Pradeo y de Workspace ONE UEM. Pradeo proporciona a VMware Workspace ONE acceso a Mobile Threat Intelligence.

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > Pradeo > Configurar > Comenzar. Para acceder a las credenciales introducidas anteriormente, seleccione Editar Pradeo para modificar las opciones.
Introduzca un correo electrónico en la pestaña Detalles de configuración de socio de red.
En la pestaña Credenciales de socio de red, copie la información generada y añádala a su portal de administrador de Pradeo Security.
- Token de integración
- Nombre de host
- Puerto
Para finalizar la configuración, seleccione Hecho.

Wandera

La integración entre Workspace ONE Intelligence y el sistema Mobile Threat Defense de Wandera implica la copia de los datos generados desde Workspace ONE Intelligence para añadirlos a su portal de administrador de Wandera.

Esta acción autoriza a Workspace ONE Intelligence a introducir datos de amenazas de Intelligence de Wandera y a mostrarlos para su análisis.

Esta integración funciona con las plataformas Android e iOS.

Requisitos previos

Antes de poder usar esta integración de Trust Network, debe integrar sus entornos de Wandera y de Workspace ONE UEM. Para obtener más información, utilice la cuenta de Wandera para acceder a los artículos que aparecen en la lista. - Integrar el flujo de eventos de amenazas con Workspace ONE Intelligence - Guía de configuración de EMM Connect Workspace ONE

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > Wandera > Configurar > Comenzar. Para acceder a las credenciales introducidas anteriormente, seleccione Editar para editar Wandera.
Introduzca un correo electrónico en la pestaña Detalles de configuración de socio de red.
En la pestaña Credenciales de socio de red, copie la información generada y añádala al portal de su administrador.
- Token de integración
- Nombre de host
- Puerto
Para finalizar la configuración, seleccione Hecho.

Zimperium

La integración entre Workspace ONE Intelligence y Zimperium implica copiar los datos generados desde Workspace ONE Intelligence y agregarlos a su instalación de Zimperium zConsole. Esta acción autoriza a Workspace ONE Intelligence a introducir datos de Intelligence sobre amenazas de Zimperium y a mostrarlos para su análisis.

Esta integración funciona con las plataformas Android e iOS.

Requisitos previos

Esta integración funciona con la versión mínima de zConsole 4.28 y versiones posteriores.
Integre Zimperium y Workspace ONE UEM mediante la documentación del portal de soporte de Zimperium. Use las credenciales del portal de soporte de Zimperium para acceder a la documentación.

Procedimiento

En la consola de Workspace ONE Intelligence, vaya a Integraciones > Orígenes de datos > Zimperium > Configurar > Comenzar. Para acceder a las credenciales introducidas anteriormente, seleccione Editar para editar Zimperium.
Introduzca un correo electrónico en la pestaña Detalles de configuración de socio de red.
En la pestaña Credenciales de socio de red, copie la información generada y agréguela a Zimperium zConsole.
- Token de integración
- Nombre de host
- Puerto
Para finalizar la configuración, seleccione Hecho.