Ir al contenido principal

Carga Anormal de Red

Alert when a device's upload bandwidth exceeds a threshold for a sustained duration. Useful for catching data exfiltration, runaway backups, and other unexpected outbound traffic.

Introducción

Recibe alertas cuando un dispositivo comienza a enviar más datos de los que debería. El monitor de Carga Anormal de Red vigila el ancho de banda de carga y se activa cuando supera el umbral establecido durante toda la duración de la infracción, detectando actividad saliente inusual antes de que se convierta en un problema mayor.

Las cargas anormales sostenidas son una de las señales de alerta temprana más útiles en un entorno: la exfiltración de datos, un trabajo de copia de seguridad mal configurado, un cliente de sincronización en la nube fuera de control o malware que se comunica con su servidor de control aparecen aquí primero.

Cómo funciona el Monitor de Carga Anormal de Red

Level muestrea el rendimiento saliente en las interfaces de red del dispositivo. Cuando la tasa de carga alcanza o supera el umbral configurado (en Mbps) y se mantiene así durante toda la duración de la infracción, Level crea una alerta. La alerta incluye un desglose por interfaz, para que puedas ver exactamente qué tarjeta de red está enviando el tráfico.

Este es un monitor de tasa, no un monitor de contenido o destino. Mide cuántos bits por segundo están saliendo del dispositivo; no sabe a dónde va el tráfico ni qué proceso lo está enviando. Esto lo convierte en un disparador rápido para «este equipo está enviando de repente una gran cantidad de datos», y las tasas por interfaz en la alerta te ofrecen un punto de partida para la investigación.

La duración de la infracción es lo que separa las anomalías reales del tráfico normal. No vale la pena generar una alerta por un dispositivo que sube brevemente durante una videollamada o una transferencia de archivos. Pero sí es relevante cuando una estación de trabajo mantiene 50 Mbps de carga durante 20 minutos a las 2 AM.

Configuración del Monitor de Carga Anormal de Red

Abre la política de monitor de destino y haz clic en + Agregar nuevo monitor (o abre un monitor de Carga Anormal de Red existente para editarlo).

Network Abnormal Upload Monitor

Nombre y Tipo

  1. Ingresa un nombre en el campo Nombre campo. El campo es opcional, pero un nombre específico como «Estaciones de trabajo - Carga Anormal» es mucho más fácil de identificar en una lista de alertas que el nombre predeterminado.

  2. Establece Tipo a Carga anormal de red.

Severidad

Establece la Severidad según cómo debe responder tu equipo ante el tráfico saliente anormal en este contexto:

  • Información

  • Advertencia

  • Crítico

  • Emergencia

💡 CONSEJO: Si utilizas este monitor como disparador de exfiltración en servidores que contienen datos confidenciales, Crítico es lo apropiado. Para la cobertura general de estaciones de trabajo, Advertencia mantiene la señal sin alertar a nadie por una sincronización grande de OneDrive.

Umbral

Umbral establece el ancho de banda de carga, en Mbps, que activa el monitor. La comparación es mayor o igual que: el tráfico exactamente en el umbral cuenta como una infracción. Ajusta el valor con las flechas arriba/abajo o escríbelo directamente.

No existe un número universalmente correcto. Depende del rol del dispositivo y de tu enlace ascendente. Algunos puntos de partida:

  • Estaciones de trabajo con una conexión de oficina típica: entre 20 y 50 Mbps detecta cargas masivas sostenidas sin marcar videollamadas

  • Servidores que no deberían cargar mucho (controladores de dominio, servidores de aplicaciones internos): entre 5 y 10 Mbps

  • Servidores de copia de seguridad o estaciones de trabajo multimedia: configúralo bien por encima de su pico normal, o asígnalos a una política separada

💡 CONSEJO: Si no estás seguro de cómo es el tráfico normal, comienza con un umbral generoso con severidad de Información y ajústalo una vez que hayas observado una semana de tráfico real.

Duración de la Infracción

Duración de la infracción controla durante cuánto tiempo el ancho de banda de carga debe mantenerse por encima del umbral antes de que Level cree una alerta. Ajústalo con el control deslizante o las flechas arriba/abajo; ambos modifican el mismo valor. El rango es de 0 a 120 minutos.

Establecer la duración de la infracción en 0 dispara la alerta en cuanto se supera el umbral. Esto casi siempre genera demasiado ruido para un monitor de ancho de banda. El tráfico legítimo tiene picos constantemente: transferencias de archivos, uso compartido de pantalla, ráfagas de sincronización en la nube.

💡 CONSEJO: Una duración de infracción de 10 a 15 minutos filtra casi todos los picos legítimos. La exfiltración y los trabajos de carga fuera de control mantienen su tasa; una llamada de Teams termina.

Remediación

Opcionalmente, adjunta una automatización para que se ejecute cuando este monitor se active. Así es como creas un ticket, alertas a tu equipo o inicias un script de contención en el momento en que se crea la alerta.

  1. Haz clic en el campo Remediación y selecciona una automatización de la lista.

  2. Usa el icono de enlace para abrir la automatización seleccionada en una nueva pestaña, el icono de ojo para previsualizarla, o el botón × para eliminarla.

Una vez adjunta, abre la automatización para asignar el payload del monitor a una variable de automatización si deseas pasar el contexto de la alerta a la lógica de la automatización. El payload de este monitor incluye el umbral y la tasa de carga medida para cada interfaz que incumplió, por ejemplo:

Upload traffic has exceeded 50 Mbps.
* en0: 87.34 Mbps  
* eth1: 61.20 Mbps

ℹ️ NOTA: Si el monitor no puede ejecutarse en un dispositivo (por ejemplo, no hay interfaces de red disponibles para muestrear), la alerta contiene un mensaje de error en lugar del payload habitual.

Notificar Destinatarios

Dos casillas de verificación controlan cuándo este monitor envía un correo electrónico a los destinatarios de la política:

  • Al crear la alerta envía un correo electrónico cuando se activa la alerta

  • Al resolver la alerta envía un correo electrónico cuando la alerta se resuelve

Los destinatarios se gestionan a nivel de la política de monitor, en la sección Destinatarios sección.

Resolución Automática

El interruptor Resolver alerta automáticamente cuando las condiciones se normalicen cierra la alerta automáticamente una vez que el ancho de banda de carga vuelve a caer por debajo del umbral.

Piénsalo bien antes de habilitar esto en casos de uso de seguridad. Un evento de exfiltración que termina de cargar caerá por debajo del umbral por sí solo. Si la alerta se resuelve automáticamente, es posible que nadie la revise nunca. Para políticas orientadas a la seguridad, deja la resolución automática desactivada para que una persona revise cada ocurrencia.

⚠️ ADVERTENCIA: Con la resolución automática habilitada, una ráfaga breve de tráfico de carga anormal puede activarse y resolverse antes de que alguien investigue. El historial de alertas se conserva, pero las alertas resueltas son fáciles de pasar por alto. Para la detección de exfiltración, mantén esto desactivado.

Preguntas frecuentes

  • ¿Quién puede crear y editar monitores? Los técnicos con acceso a la política de monitor correspondiente. La configuración de permisos se gestiona en Espacio de trabajo → Permisos.

  • ¿El umbral se mide en megabits o megabytes? Megabits por segundo (Mbps). Un umbral de 100 Mbps equivale aproximadamente a 12,5 megabytes por segundo de carga sostenida.

  • Mi alerta se activa todas las noches a la misma hora. ¿Qué está pasando? Casi con certeza se trata de un trabajo programado: copias de seguridad, sincronización en la nube o una tarea de replicación remota. Aumenta el umbral para la política de ese dispositivo, extiende la duración de la infracción más allá del tiempo de ejecución del trabajo, o mueve los servidores de copia de seguridad a su propia política con límites que se ajusten a su carga de trabajo real.

  • ¿Cuál es la diferencia entre el umbral y la duración de la infracción? El umbral es la tasa de carga que debe superarse. La duración de la infracción es el tiempo durante el cual debe mantenerse superada. Ambas condiciones deben cumplirse antes de que se active una alerta.

  • ¿Este monitor me indica qué interfaz o proceso es el responsable? El payload de la alerta desglosa la tasa de carga medida por interfaz (en0, eth1, etc.), para que sepas qué tarjeta de red está activa. No captura el proceso, la IP de destino ni el puerto. Para eso, investiga a través de Gestión en Segundo Plano → Procesos o tus herramientas de red una vez que se active la alerta.

  • ¿Puedo usar esto para detectar exfiltración de datos? Es un disparador útil, pero está basado en el ancho de banda, no en el contenido. La exfiltración lenta y de baja tasa por debajo de tu umbral no lo activará. Combínalo con umbrales sensatos por clase de dispositivo y trátalo como una señal más, no como un sustituto de DLP.

  • ¿Qué ocurre con las alertas abiertas si elimino el monitor? Las alertas existentes permanecen activas. Eliminar un monitor no cierra las alertas que ya creó. Resuélvelas manualmente.

Artículos relacionados
Monitor de uso de CPU
Monitor de uso de memoria
Monitor de Latencia de Disco
Monitor de Rendimiento de Disco
Monitor de Saturación de Red
¿Ha quedado contestada tu pregunta?