WatchGuard Endpoint-Risikobewertung

Gilt für: WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt. und WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt.

Die WatchGuard Endpoint-Risikobewertung ermöglicht es Ihnen, die Cybersicherheitslage Ihrer verwalteten Konten zu bewerten, die eine Endpoint-Sicherheitslösung von Drittanbietern verwenden. Die Endpoint-Risikobewertung ist nicht intrusiv und ermöglicht es Ihnen, Bedrohungen, Schwachstellen und sonstige Sicherheitsrisiken zu identifizieren. Nach dem Analysezeitraum können Sie einen detaillierten Bericht planen, der Einblicke in die Risikoprofile der Konten liefert sowie Empfehlungen, wie die Angriffsfläche reduziert werden kann, zusätzlich zu den allgemeinen Verbesserungen der Sicherheitslage.

Der Endpoint Bericht zur Risikobewertung beinhaltet grafische Zusammenfassungen von:

• Risiken
• Endpoint Risikostatus
• Analyse des Zero-Trust Application Service
• Analyse des Threat Hunting-Dienst

Der Abschnitt Analysedetails und Empfehlungen beinhaltet detaillierte Informationen zu diesen Sicherheitsrisiken:

• Erkannte Malware, PUPs, Exploits, Netzwerkangriffe, Indikatoren oder Angriffe
• Erkannte, aktiv ausgenutzte Schwachstellen
• Erkannte, kritische und wichtige Schwachstellen
• Erkannte End-of-Life-Software
• Anwendungen mit hohem Download- und Upload-Volumen
• Ausgeführte Living-off-the-Land-Anwendungen

Warum eine Endpoint-Risikobewertung aktivieren?

Die Endpoint-Risikobewertung ist ein Tool für Service Provider, um ihren Kunden einen Mehrwert zu bieten, und zwar mit einer Analyse der Cybersicherheit des Kundennetzwerks. Sie können die Risikobewertung dazu verwenden, Kunden, die sicherstellen möchten, dass sie vor Sicherheitsbedrohungen rundum geschützt sind, die Vorteile der WatchGuard Endpoint Security Technologien und Produkte aufzuzeigen.

Die Endpoint-Risikobewertung basiert auf einem Zero-Trust-Ansatz, damit der Kunde eine vertrauenswürdige IT-Umgebung aufbauen kann. Sie bietet Einblicke in die in der Kundenumgebung installierten Anwendungen und dazu, welche Anwendungen mehr Bandbreite verbrauchen. Sie bietet außerdem Transparenz für Living-off-the-Land-Anwendungen, die üblicherweise von bösartigen Akteuren eingesetzt werden, um Malware in Netzwerke einzuschleusen.

Die Risikobewertung ist für den Kunden transparent. An ihren Endpoints sehen die Kunden keine lokalen Warnungen oder das WatchGuard Endpoint Security-Symbol im Infobereich der Windows-Taskleiste. Automatische Schutzaktualisierungen werden deaktiviert, um sicherzustellen, dass der Kunde den Endpoint für einen Schutz-Upgrade nicht neu starten muss.

Auch wenn der Kunde keine Lizenz für WatchGuard Endpoint Security aktiviert, kann er die meisten Empfehlungen aus dem Bericht anwenden. Es sind keine zusätzliche Hardware oder Test-Tools erforderlich.

Anforderungen und Beschränkungen

Die Endpoint-Risikobewertung ist in WatchGuard Cloud verfügbar für Partner und Kunden mit einer Testversion von WatchGuard EPDR oder WatchGuard Advanced EPDR. Partnern oder Kunden mit einem bereits vorhandenen Endpoint Security-Produktlizenz steht dies nicht zur Verfügung. Wenn der Partner oder Kunde eine Firebox Total Security Suite-Lizenz mit EDR Core hat, aber EDR Core auf keinen Endpoints installiert hat, dann kann er eine Testversion starten und die Endpoint-Risikobewertung aktivieren.

Des Weiteren empfehlen wir Ihnen, dass Sie gleichzeitig eine Testversion des WatchGuard Advanced Reporting Tools für zusätzliche Transparenz beginnen. Das Advanced Reporting Tool bietet erweiterte Informationen, die von der Bewertung verwendet werden, wie z. B. einen Überblick über alle verwendeten Anwendungen, Suchfähigkeiten sowie Nachverfolgbarkeit von derzeit aktiven Microsoft Office-Lizenzen.

Die Endpoint-Risikobewertung findet ausschließlich Anwendung auf Endpoints auf Windows, Linux und macOS-Plattformen. Android und iOS Endpoints fallen nicht in den Umfang der Berichte.

Bevor Sie beginnen

Wenn die Risikobewertung beginnt, finden automatisch neue Einstellungen in der Gruppe Alle Anwendung. Allerdings werden die Einstellungen der Risikobewertung nicht auf Kontogruppen mit Einstellungen aus der mehrmandantenfähigen Endpoint Security-Verwaltungsoberfläche angewendet. Weitere Informationen zu den Einstellungen in der mehrmandantenfähigen Verwaltungsoberfläche finden Sie unter Mehrmandantenfähige Verwaltung von Einstellungsprofilen.

Wenn Sie die mehrmandantenfähige Verwaltungsoberfläche nutzen, um Einstellungen zuzuweisen, stellen Sie sicher, dass Sie den Konten, die Sie in die Analyse mit einschließen wollen, keine Konfigurationseinstellungen zugewiesen haben. Wir empfehlen Ihnen, eine Kontogruppe namens Risikobewertung zu erstellen, die Sie für die Analyse verwenden und der sie keine Einstellungen aus der mehrmandantenfähigen Verwaltungsoberfläche zuweisen. Weitere Information zu Kontogruppen finden Sie unter Kontogruppen verwalten. Falls Sie neue Konten zum Analyseumfang hinzufügen, stellen Sie sicher, dass Sie diese in die Gruppe Risikobewertung einschließen.

Erste Schritte‭ mit WatchGuard Endpoint-Risikobewertung

Führen Sie die folgenden Schritte aus:

1. Starten Sie eine Testversion und aktivieren Sie die Risikobewertung auf Ihrem Konto

2. Installieren Sie Endpoint Security auf Ihren Endpoints

3. Prüfen Sie den Bericht Endpoint-Risikobewertung

1. Starten Sie eine Testversion und aktivieren Sie die Risikobewertung auf Ihrem Konto

Sie können die Endpoint-Risikobewertung auf WatchGuard Cloud-Konten aktivieren, die keine WatchGuard Endpoint Security-Produktlizenz haben.

Subscriber-Konten mit Endpoints, denen EDR Core (mit der Firebox Total Security Suite verfügbar) zugewiesen ist, aber die EDR Core auf keinen Endpoints installiert haben, können ebenfalls eine Testversion starten und die Risikobewertung aktivieren.

So starten Sie eine Testversion und aktivieren die Risikobewertung:

1. Melden Sie sich bei WatchGuard Cloud an.
2. Wählen Sie im Kontomanager den Befehl Übersicht.
3. Beginnen Sie einen Testzeitraum für Advanced EPDR oder EPDR.
   
   1. Wählen Sie Administration > Testversionen.
   2. Wählen Sie die Registerkarte Endpoints.
   3. Aktivieren Sie in der Spalte Kontoname den Schalter Testversion neben dem Konto, für das Sie die Risikobewertung beginnen wollen.
      Das Dialogfeld Testversion Hinzufügen wird geöffnet.
   4. Aus der Liste Produkt wählen Sie Advanced EPDR oder EPDR.
   5. (Optional) Aktivieren Sie in der Liste der Module das Kontrollkästchen Advanced Reporting Tool.
      Das Advanced Reporting Tool bietet erweiterte Informationen, die von der Bewertung verwendet werden, wie z. B. einen Überblick über alle verwendeten Anwendungen, Suchfähigkeiten sowie Nachverfolgbarkeit von derzeit aktiven Microsoft Office-Lizenzen.
   6. Klicken Sie auf Hinzufügen.
      Es kann bis zu zwei Minuten dauern, bis die Testversion in WatchGuard Cloud verfügbar ist.
4. Wählen Sie Überwachen > Endpoints.
   Das Sicherheits-Dashboard auf der Seite Einstellungen wird geöffnet.

5. Klicken Sie auf Aktivieren.
   Das Bestätigungsdialogfeld wird geöffnet.

6. Klicken Sie auf Aktivieren.

2. Installieren Sie Endpoint Security auf Ihren Endpoints

Nachdem Sie einen Testzeitraum begonnen und die Risikobewertung aktiviert haben, stellen Sie das WatchGuard Endpoint Security-Produkt auf Ihren Endpoints bereit. Auf je mehr Endpoints Sie die Endpoint Security installieren, desto umfassender ist die Risikobewertung. Wir empfehlen, dass Sie Endpoint Security auf Endpoints installieren, die anfälliger für Bedrohungen sind, wie z. B. Laptops. Informationen zum Planen einer Bereitstellung von WatchGuard Endpoint Security in Ihrem Netzwerk finden Sie unter Endpoint Security-Installationsplan.

Der erste Windows-Computer, den Sie zu WatchGuard Endpoint Security hinzufügen, wird automatisch als der Erkennungscomputer festgelegt. Der Erkennungscomputer findet weitere Computer im Netzwerk, ohne dass der WatchGuard Agent installiert sein muss. Verwenden Sie die Liste Gefundene nicht verwaltete Computer, um Computer im Netzwerk zu finden, auf denen Sie den WatchGuard Agent bereitstellen wollen. Weitere Informationen finden Sie unter Liste Gefundene nicht verwaltete Computer .

Dann können Sie die Endpoint-Software auf Windows-Computern ferninstallieren. Weitere Informationen finden Sie unter Ferninstallation der Endpoint-Software (Windows-Computer).

Die Installation sollte nur wenige Minuten dauern. Beim Installieren der Software auf dem Endpoint wird das Endpoint Security-Symbol nicht in der Benachrichtigungsleiste angezeigt und lokale Warnungen werden deaktiviert. Dies liegt daran, dass die Einstellungen der Risikobewertung auf die Gruppe Alle angewendet und auf den Endpoints bereitgestellt wurden.

Virenschutz- und EDR-Produkte von Drittanbietern

WatchGuard Endpoint Security und die Endpoint-Risikobewertung sind mit Virenschutz- und EDR Produkten von Drittanbietern kompatibel. Die Endpoint-Risikobewertung wird zusätzlich zu bestehenden Virenschutz- und EDR-Produkten von Drittanbietern installiert, um Endpoints auf aktive und latente Malware, Schwachstellen und weitere Sicherheitsrisiken zu überprüfen.

Weitere Informationen finden Sie in diesem Wissensdatenbankartikel: Sind Endpoint Security-Produkte mit Virenschutz- und EDR-Lösungen von Drittanbietern kompatibel?

3. Prüfen Sie den Bericht Endpoint-Risikobewertung

Sie können jederzeit eine Vorschau des Berichts Endpoint-Risikobewertung abrufen. Oder Sie können das Senden des Berichts zum Ende des Analysezeitraums planen. Der Bericht hebt die unterschiedlichen Arten von während des Analysezeitraums erkannten Sicherheitsrisiken hervor. Der Bericht klassifiziert die Risiken nach Schweregrad:

• Kritisch — Zeigt an, dass bestätigte Malware ausgeführt wurde oder dass ein gefährliches Expositionsniveau für einen Cyberangriff besteht.
• Hoch — Zeigt an, dass latente Malware gefunden wurde, die zu jedem Zeitpunkt ausgeführt werden könnte, oder dass die dringende Notwendigkeit besteht, die Angriffsfläche zu verringern.
• Mittel — Zeigt an, dass weitere Risikofaktoren gefunden wurden, die vorbeugend behandelt werden müssen.

Der Bericht beinhaltet nur Windows-, Linux- und Mac-Endpoints mit einer aktivierten WatchGuard Advanced EPDR- oder EPDR-Testlizenz.

Um nur den abschließenden Analysebericht zu erhalten, und keine E-Mail-Warnmeldungen für jede von Endpoint Security gefundene Bedrohung, können Sie die E-Mail-Warnmeldungen für die Gruppe Risikobewertung deaktivieren. Weitere Informationen finden Sie unter Über Warnmeldungen.

Vorschau des Berichts

So können Sie in WatchGuard Cloud eine Vorschau des Berichts anzeigen:

1. Im Kontomanager wählen Sie das Konto, in dem Sie die Risikobewertung aktiviert haben.
2. Wählen Sie Überwachen > Endpoints.
3. Auf der Seite Status wählen Sie Geplante Berichte.
4. Klicken Sie auf Geplanten Bericht hinzufügen.

5. Klicken Sie auf Berichtsvorschau.
   Der Bericht wird in einem neuen Browsertab geöffnet.

Bericht planen

Planen Sie den Bericht zur Risikobewertung, falls Sie ihn per E-Mail täglich, wöchentlich oder monatlich an bestimmten Tagen und zu einer bestimmten Uhrzeit erhalten möchten. Für kleinere Netzwerke (1 bis 50 Endpoints) empfehlen wir, dass Sie den Bericht so planen, dass er 2 Wochen nach Beginn der Analyse ausgeführt wird. Für größere Netzwerke empfehlen wir, dass Sie den Bericht so planen, dass er bis zu 4 Wochen nach Beginn der Analyse ausgeführt wird. Der Endpoint Security-Testzeitraum beträgt 30 Tage, kann jedoch einmal auf bis zu 60 Tage verlängert werden. Größere Netzwerke können einen längeren Analysezeitraum benötigen. Kontaktieren Sie den für Sie zuständigen WatchGuard-Vertreter.

So planen Sie in WatchGuard Cloud den Bericht zur Risikobewertung:

1. Im Kontomanager wählen Sie das Konto, in dem Sie die Risikobewertung aktiviert haben.
2. Wählen Sie Überwachen > Endpoints.
3. Auf der Seite Status wählen Sie Geplante Berichte.
4. Klicken Sie auf Geplanten Bericht hinzufügen.
5. Geben Sie in das Textfeld Name einen Namen für den geplanten Bericht ein.
6. Wählen Sie im Abschnitt Automatisch senden die Häufigkeit und den Zeitpunkt für den geplanten Bericht.Der Schalter Automatisch Senden ist standardmäßig aktiviert.

7. Geben Sie ins Textfeld An die E-Mail-Adressen durch Kommas getrennt ein, die die Berichte erhalten sollen.
8. Geben Sie in die Textfelder CC und BCC die E-Mail-Adressen für Kopien ein, getrennt durch Kommas.
9. Geben Sie in das Textfeld Betreff einen Betreff für Ihre E-Mail ein (z. B. Bericht Endpoint-Risikobewertung).
10. Um das Format für den Bericht vorzugeben, wählen Sie in der Dropdown-Liste PDF oder Word.
11. Klicken Sie auf Hinzufügen.

Deaktivieren der Risikobewertung

Sie können die Risikobewertung zu jedem Zeitpunkt deaktivieren. Wenn Sie die Analyse aktivieren, ist der Prüfmodus aktiviert, um Malware und sonstige Sicherheitslücken zu erkennen. Im Prüfmodus blockiert oder entfernt Endpoint Security keine Bedrohungen. Sie können erst die Risikobewertung und dann den Prüfmodus deaktivieren, damit Endpoint Security gefundene Bedrohungen blockieren und entfernen kann. Ebenso sollten Sie die computerspezifischen Standardeinstellungen aktivieren, um automatische Updates zu aktivieren und das Endpoint Security-Symbol im Infobereich der Windows-Taskleiste anzuzeigen.

So deaktivieren die Risikobewertung und den Prüfmodus:

1. Melden Sie sich bei WatchGuard Cloud an.
2. Wählen Sie im Kontomanager das Konto aus, für das Sie den Testzeitraum und die Risikobewertung begonnen haben.
3. Wählen Sie Überwachen > Endpoints.

4. Klicken Sie auf Deaktivieren.
   ‬Ein Bestätigungsdialogfeld wird geöffnet.

5. Klicken Sie auf Deaktivieren.
6. Wählen Sie Einstellungen > Workstations und Server.

7. Weisen Sie die Workstations und Server-Standardeinstellungen der Gruppe Alle zu.
   Dies deaktiviert den Prüfmodus. Wenn dem Konto von seinem Service-Provider kein Profil zugewiesen wurde, dann weist die Endpoint-Risikobewertung automatisch ein Einstellungsprofil zu, bei dem Köderdateien und Anti-Exploit deaktiviert sind. Wenn Sie die Risikobewertung deaktivieren, dann wird dieses Profil deaktiviert. Wir empfehlen Ihnen, die Standardeinstellungen zuzuweisen, um Prüfmodus, Köderdateien und Anti-Exploit-Schutz zu aktivieren.
   
8. Wählen Sie Computerspezifische Einstellungen.
9. Weisen Sie das computerspezifische Einstellungsstandardprofil der Gruppe Alle zu.

Auf Endpoints gefundene Bedrohungen beheben

Sie können jederzeit Regeln für die Problembehebung hinzufügen, um die Sicherheitslage des Kontos zu verbessern.

Um Schwachstellen mit Endpoint Security zu beheben, empfehlen wir, dass Sie Folgendes tun:

1. Deaktivieren Sie die Endpoint-Risikobewertung
2. Weisen Sie die Standardeinstellungen für Workstations und Server den Konten zu, für die Sie die Bedrohungen beheben wollen. Dadurch wird der Prüfmodus aktiviert, um sicherzustellen, dass Endpoint Security gefundene Malware, PUPs oder sonstige Exploits blockiert und entfernt. Weitere Informationen finden Sie unter Sicherheitseinstellungen für Workstations und Server konfigurieren und Einstellungsprofile zuweisen.
3. Scanne Sie kritische Bereiche auf allen Endpoint-Geräten. Weitere Informationen finden Sie unter Computer und Geräte scannen.
4. Beginnen Sie einen Testzeitraum für Patch Management, um die verfügbaren Patches automatisch auf Ihren Endpoints anzuwenden. Weitere Informationen finden Sie unter Bewährte Verfahren für Patch Management.
5. Prüfen und befolgen Sie die Empfehlungen im Bericht Endpoint-Risikobewertung, um die Angriffsfläche zu reduzieren und die Sicherheitslage zu verbessern. Das könnte beinhalten: Geräteisolierung, weitere Malware-Scan-Aufgaben und Application Control (Programmblockierung).

Ähnliche Themen

Testversion beginnen – Service-Provider

Installationsanforderungen (externer Link)

Erste Schritte mit WatchGuard Endpoint Security