Über Echtzeit-Warnmeldungen im Advanced Visualization Tool

Gilt für: WatchGuard Advanced Reporting Tool und Data Control Dieses Thema betrifft die WatchGuard Endpoint Security-Module Advanced Reporting Tool und Data Control. Diese optionalen Module sind verfügbar für WatchGuard EPDR und WatchGuard EDR.

Eine Warnmeldung für abnormales Verhalten kann helfen, einen Angriff bereits im Frühstadium zu verhindern. Hier können Sie anhand von Ereignissen Echtzeit-Warnmeldungen konfigurieren, die auf ein Sicherheitsrisiko oder einen Verstoß gegen die Datenverwaltungsregeln Ihres Unternehmens hinweisen.

Beispielsweise könnten Sie eine Warnmeldung definieren, die Sie jedes Mal benachrichtigt, wenn ein bestimmter Statuscode bei einem Webserver-Ereignis auftritt. Oder Sie könnten einrichten, dass eine Warnmeldung ausgelöst wird, falls die durchschnittliche Antwortzeit eines Servers über einen 30-minütigen Zeitraum hinweg einen vorgegebenen Schwellenwert überschreitet.

Um Datenschutzverletzungen oder andere unbekannte böswillige Aktivitäten zu verhindern, empfehlen wir Ihnen, eine Warnmeldung zu erstellen, die Sie bei hohen Datenverkehrsvolumen warnt. Informationen zum Erstellen einer Warnmeldung finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.

Zur Warnmeldungsfunktion im Advanced Visualization Tool gehören:

• Standard-Warnmeldungen, die Hochrisikosituationen anzeigen.
• Die Möglichkeit, bis zu 10 benutzerdefinierte Warnmeldungen anhand Ihrer eigenen Kriterien zu erstellen. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
• Verschiedene Zustellmethoden zum Versand von Warnmeldungen an Empfänger (beispielsweise E-Mail, HTTP-JSON, Service Desk, Jira, Pushover, PagerDuty und Slack). Weitere Informationen finden Sie unter Zustellmethoden für Warnmeldungen konfigurieren.
• Anti-Flooding-Einstellungen zur Vermeidung von zu vielen Warnmeldungen. Weitere Informationen finden Sie unter Anti-Flooding-Regeln für Warnmeldungen erstellen.

Standard-Warnmeldungen für das WatchGuard Advanced Reporting Tool

Standardmäßig beinhaltet das Advanced Visualization Tool die folgenden vordefinierten Warnmeldungen für das WatchGuard Advanced Reporting Tool:

• Malware per endpoint hourly (Malware je Endpoint stündlich) — Zeigt die Anzahl der Malware-Erkennungen in der letzten Stunde auf den einzelnen Netzwerkcomputern.
• Malware in the network hourly (Malware im Netzwerk stündlich) — Zeigt die Anzahl der Malware-Erkennungen in der letzten Stunde im gesamten Netzwerk.
• Malware executed in different endpoints hourly (Auf verschiedenen Endpoints ausgeführte Malware stündlich) — Zeigt die Anzahl der Computer, die eine bestimmte Art Malware in der letzten Stunde ausgeführt haben.
• Bandwidth consumption to endpoint hourly (Bandbreitenverbrauch zum Endpoint stündlich) — Zeigt die in der letzten Stunde von den einzelnen Netzwerkcomputern empfangene Bandbreite.
• Bandwidth consumption from endpoint hourly (Bandbreitenverbrauch vom Endpoint stündlich) — Zeigt die in der letzten Stunde von den einzelnen Netzwerkcomputern gesendete Bandbreite.
• Bandwidth consumption per app hourly (Bandbreitenverbrauch je App stündlich) — Zeigt die in der letzten Stunde von den einzelnen Anwendungen empfangene und gesendete Bandbreite.
• Users and outbound data hourly (Benutzer und ausgehende Daten stündlich) — Zeigt die von den einzelnen Benutzern in den letzten 24 Stunden gesendeten Datenmengen.

Standard-Warnmeldungen für WatchGuard Data Control

Standardmäßig beinhaltet das Advanced Visualization Tool die folgenden vordefinierten Warnmeldungen für WatchGuard Data Control:

• Too many operations by process (Zu viele Vorgänge nach Prozess) — Generiert jedes Mal eine Warnmeldung, wenn ein Prozess mehr als 50 Vorgänge auf einer oder mehreren Dateien mit personenbezogenen Daten im Zeitraum von zehn Sekunden ausführt.
• Malware detected (Malware erkannt) — Generiert jedes Mal eine Warnmeldung, wenn ein bösartiger Prozess einen Vorgang an einem Dokument mit personenbezogenen Daten ausführt.
• Too many exfiltration operations by user (Zu viele Exfiltrationsvorgänge nach Benutzer) — Generiert jedes Mal eine Warnmeldung, wenn ein Benutzer mehr als fünf Vorgänge, die als "Datenexfiltration" klassifiziert sind, innerhalb von zwei Minuten ausführt.
• User operations (Benutzervorgänge) — Generiert jedes Mal eine Warnmeldung, wenn ein Benutzer mehr als 5 % aller innerhalb von vier Stunden erkannten Exfiltrationsvorgänge ausführt.
• User rename operations (Benutzerumbenennungsvorgänge) — Generiert jedes Mal eine Warnmeldung, wenn ein Benutzer mehr als 5 % aller innerhalb von vier Stunden erkannten Vorgänge zum Umbenennen einer Datei ausführt.
• User create operations (Benutzererstellungsvorgänge) — Generiert jedes Mal eine Warnmeldung, wenn ein Benutzer mehr als 5 % aller innerhalb von vier Stunden erkannten Vorgänge zum Erstellen einer Datei ausführt.
• User open operations (Benutzeröffnungsvorgänge) — Generiert jedes Mal eine Warnmeldung, wenn ein Benutzer mehr als 5 % aller innerhalb von vier Stunden erkannten Vorgänge zum Öffnen einer Datei ausführt.
• User copy-paste operations (Benutzervorgänge zum Kopieren-Einfügen) — Generiert jedes Mal eine Warnmeldung, wenn ein Benutzer mehr als 5 % aller innerhalb von vier Stunden erkannten Copy-and-Paste-Vorgänge ausführt.
• Data leak (Datenleck) — Generiert jedes Mal eine Warnmeldung, wenn ein Exfiltrationsvorgang auf einem Dokument mit mehr als 25 MB ausgeführt wird.

Ähnliche Themen

Über das Advanced Reporting Tool

Verfügbare Warnmeldungen verwalten

Warnmeldungen im Advanced Visualization Tool erstellen