Gilt für: WatchGuard EDR Core
WatchGuard EDR Core ist in der Firebox Total Security Suite-Lizenz enthalten. EDR Core beinhaltet eine Auswahl der WatchGuard EDR-Funktionen und unterstützt XDR-Fähigkeiten durch ThreatSync. Sie können EDR Core zusammen mit Endpoint-Produkten von Drittanbietern installieren, um gegen dateilose Angriffe und solche ohne Malware, einschließlich Ransomware und APTs geschützt zu sein. EDR Core beinhaltet ebenso Manipulationsschutz und Anti-Exploit-Schutz sowie Kontext-Erkennungen, Köderdateien (Decoy) und VPN-Validierung.
Informationen zu ThreatSync finden Sie unter Über ThreatSync.
EDR Core enthält einen Teil der in WatchGuard EDR verfügbaren Funktionen und ist ein Ersatz für den Threat Detection and Response (TDR) Host-Sensor. EDR Core beinhaltet keine Firewall, Virenschutz, Webzugriff- oder Gerätekontrolle, Schattenkopien oder Programmblockierung. Wenn Sie diese Funktionen, den Zero-Trust Application Service und die Endpoint Security-Module nutzen möchten, müssen Sie auf WatchGuard Advanced EPDR oder EPDR upgraden. Wenn Sie das Passport-Bundle oder eine Endpoint Security Subscription-Lizenz für WatchGuard EPDR erwerben und aktivieren, dann wird die vorhandene EDR Core-Lizenz mit Total Security Suite automatisch auf WatchGuard EPDR upgegradet. Die EDR Core-Lizenz wird deaktiviert. Informationen zum Upgraden Ihrer EDR Core-Lizenz auf WatchGuard EPDR finden Sie unter Eine Endpoint Security-Lizenz aktivieren.
EDR Core unterstützt die folgenden Client-Plattformen:
- Windows (Intel und ARM)
- Linux
- macOS (Intel und ARM)
Weitere Informationen finden Sie in den Installationsanforderungen (extern) in den WatchGuard Endpoint Security Versionshinweisen.
EDR Core Grundlegende Funktionen
Sie können in EDR Core Sicherheitseinstellungsprofile ähnlich den in WatchGuard EDR erstellten Profilen erstellen. Weitere Informationen finden Sie unter Einstellungen verwalten.
Diese Grundfunktionen sind in EDR Core verfügbar und Sie können diese Ihren Endpoints über die Sicherheitseinstellungsprofile zuweisen:
- Anti-Manipulationsschutz
- Einblick in die Hardware und Software auf einem Endpoint
- Neustart und Neuinstallation des Endpoint Agent und der Schutzsoftware auf dem Endpoint aus der Ferne
- Isolation eines Endpoints
- Erkennung ungeschützter Endpoints
- Nachverfolgung von Benutzeraktionen in der Endpoint Security-Verwaltungsoberfläche
Wenn Sie beabsichtigen, EDR Core mit Virenschutz-Software von Drittanbietern zu verwenden, sollten Sie sowohl dem Drittanbieter-Produkt als auch EDR Core Ausschlüsse hinzufügen, damit es zu keinen Überschneidungen oder falschen Erkennungen kommt. Informationen zum Erstellen von Ausschlüssen in EDR Core finden Sie unter Erstellen von Ausschlüssen in WatchGuard Endpoint Security.
EDR Core Sicherheitsfunktionen
Die Sicherheitsfunktionen von EDR Core ähneln den in WatchGuard EDR enthaltenen. Die folgenden Sicherheitsfunktionen sind in EDR Core verfügbar:
- Kontext-Erkennungen, einschließlich Erkennungen zur Host-Ransomware-Prävention
- Köderdateien (Decoy)
- Collective Intelligence-Abfrage und APT Blocker (ausgeführte Programme werden zur Cloud gesendet und in unserer Sandbox ausgeführt, um unbekannte Bedrohungen zu erkennen)
- Anti-Exploit-Schutz
- Nur Audit-Modus auf Endpoints (Hardening- und Lock-Modus erfordern den in EDR Core nicht enthaltenen Zero-Trust Application Service.)
- Blockieren (EDR Core unterstützt keine Desinfektion.)
- VPN-Erzwingen
Die folgenden Sicherheitsfunktionen sind mit EDR Core nicht verfügbar:
- Webzugriffskontrolle
- Firewall
- Virenschutz
- Schattenkopien (Shadow copies)
- Gerätesteuerung
- Zero-Trust Application Service (EDR Core klassifiziert unbekannte Anwendungen nicht.)
- Scan-Aufgaben
- Programmblockierung
- Autorisierte Software
Funktionsvergleich
Um Zero-Trust Application Service, Virenschutz, Endpoint Security-Module wie Full Encryption und Patch Management und andere in dieser Tabelle aufgeführten Funktionen nutzen zu können, empfehlen wir Ihnen ein Upgrade von EDR Core auf WatchGuard EPDR.
| EDR Core | EDR | EPDR | Advanced EPDR | |
|---|---|---|---|---|
| VPN-Erzwingen | ✓ | ✓ | ✓ | ✓ |
| Produktübergreifende Erkennungen (ThreatSync) | ✓ | ✓ | ✓ | ✓ |
| Reaktionsmaßnahmen: Quarantäne, Abbrechen oder Isolieren (ThreatSync) | ✓ | ✓ | ✓ | ✓ |
| Kontext-Erkennungen (dateilose Malware) | ✓ | ✓ | ✓ | ✓ |
| Anti-Exploit | ✓ | ✓ | ✓ | ✓ |
| Threat Hunting-Dienst und IOA | Teilweise | ✓ | ✓ | ✓ |
| Desinfektion nach blockiertem Angriff | × | ✓ | ✓ | ✓ |
| Erkennen von Malware beim Kopieren oder Herunterladen von Dateien | × | × | ✓ | ✓ |
| Zero-Trust Application Service | × | ✓ | ✓ | ✓ |
| Schwachstellenanalyse | × | ✓ | ✓ | ✓ |
| Schutz vor Netzwerkangriffen | × | ✓ | ✓ | ✓ |
| Schattenkopien (Shadow copies) | × | ✓ | ✓ | ✓ |
| Gerätesteuerung | × | × | ✓ | ✓ |
| Firewall, einschließlich IDS, Anwendungsregeln und Systemregeln | × | × | ✓ | ✓ |
| URL-Filterung | × | × | ✓ | ✓ |
| Anti-Phishing | × | × | ✓ | ✓ |
| Webschutz | × | × | ✓ | ✓ |
| Mobilgeräteschutz (Android und iOS) | × | × | ✓ | ✓ |
| Erweiterte Sicherheitsrichtlinien | × | × | × | ✓ |
| IOC- und Yara-Regeln | × | × | × | ✓ |
| Fernzugriff über Eingabeaufforderung | × | × | × | ✓ |
| Erkennen erweiterter IOA (MITRE TTPs) | × | × | × | ✓ |
| Optionale Module (Patch Management, Full Encryption und ART) | × | ✓ | ✓ | ✓ |