Übersicht Verwaltete Dienste in WatchGuard MDR

Gilt für: WatchGuard Core MDR, WatchGuard Core MDR for Microsoft

WatchGuard MDR ist ein verwalteter Dienst, den WatchGuard berechtigten Partnern bereitstellt. Weitere Informationen dazu, wie das WatchGuard SOC-Team mit Partnern zusammenarbeitet, um MDR-Dienste bereitzustellen, finden Sie in den folgenden Abschnitten:

Verantwortlichkeiten
Partnerberechtigung und -Onboarding
Reaktion auf Vorfälle

Verantwortlichkeiten

Zur Bereitstellung von MDR-Diensten für Kunden arbeiten Partner und das WatchGuard SOC-Team zusammen. Bevor Sie mit WatchGuard MDR beginnen, sollten Sie sich mit den Rollen und Verantwortlichkeiten der Partner und des WatchGuard SOC-Teams vertraut machen.

Partner

WatchGuard MDR-Partner haben unter anderem die folgenden Verantwortlichkeiten:

Berechtigungen festlegen und Partner-Onboarding veranlassen

Zur Bestätigung der Berechtigungsanforderungen und Initialisierung des Partner-Onboarding-Prozesses müssen Sie sich mit Ihrem WatchGuard-Kontomanager absprechen. Weitere Informationen finden Sie unter Partnerberechtigung und -Onboarding.

Lizenzen erwerben und zuweisen

Aktivieren Sie die Lizenz jedes Mal, wenn Sie eine neue MDR-Lizenz erwerben, und weisen Sie den MDR-Dienst den Endpoints des Kunden in WatchGuard Cloud zu. Weitere Informationen finden Sie unter Über Verwaltete-Dienste-Lizenzen.

Ihre Kunden registrieren

Führen Sie für jeden neuen Kunden die Schritte für das Kunden-Onboarding und die Einrichtung seiner Umgebung aus.

WatchGuard Core MDR-Lizenzen und WatchGuard Endpoint Security

Folgen Sie den Konfigurationsschritten in WatchGuard Core MDR-Einstellungen konfigurieren.
Damit das WatchGuard SOC-Team Ihre Microsoft Office 365-Umgebung überwachen kann, folgen Sie den Konfigurationsschritten in WatchGuard MDR mit Microsoft Office 365 verbinden.

WatchGuard Core MDR for Microsoft-Lizenzen und Microsoft Defender for Endpoints

Folgen Sie den Konfigurationsschritten in WatchGuard Core MDR for Microsoft mit Microsoft Defender verbinden.
Damit das WatchGuard SOC-Team Ihre Microsoft Office 365-Umgebung überwachen kann, folgen Sie den Konfigurationsschritten in WatchGuard MDR mit Microsoft Office 365 verbinden.

Leitlinien zur Problembehebung einhalten

Wenn ein Vorfall auftritt, stellen Sie sicher, dass Sie oder Ihr Kunde den Empfehlungen des WatchGuard SOC-Teams nachkommen können, um den Vorfall zu beheben, damit er so schnell wie möglich wieder zur Tagesordnung zurückkehren kann. Weitere Informationen finden Sie unter Reaktion auf Vorfälle.

WatchGuard SOC-Team

Das WatchGuard SOC-Team hat betreffend WatchGuard MDR unter anderem die folgenden Verantwortlichkeiten:

Überwachen, Analysieren und Triage

WatchGuard überwacht und analysiert Telemetriedaten von den Endpoints Ihrer Kunden proaktiv, damit Indikatoren und Warnmeldungen identifiziert, aggregiert und priorisiert werden können.

Untersuchen

WatchGuard ermittelt, ob eine anormale Aktivität bösartig ist und eine Reaktion erfordert.

Reaktion auf Bedrohung bereitstellen

Die Reaktion auf Bedrohungen umfasst Warnmeldungen mit Details zur Untersuchung, der Liste der betroffenen Endpoints und Leitlinien zur Behebung der Bedrohung. Beim Onboarding eines WatchGuard Core MDR-Kunden können Sie angeben, ob Sie dem WatchGuard SOC erlauben möchten, betroffene Endpoints als Reaktion auf eine Bedrohung zu isolieren.

Suche nach Bedrohungen

Die WatchGuard-Bedrohungsspezialisten suchen basierend auf Threat Intelligence und relevanten Kompromittierungsindikatoren (IoC), die im Laufe der Zeit beobachtet wurden, nach Bedrohungen, die von bestehenden Erkennungskontrollen eventuell nicht erkannt wurden. Wenn Bedrohungsspezialisten Indikatoren für böswillige Aktivitäten aufdecken, werden diese von ihnen untersucht. WatchGuard erstellt darüber hinaus neue Angriffsindikatoren (IoA) und Kompromittierungsindikatoren (IoC), um die Wirksamkeit und Effizienz des Dienstes zu verbessern.

Bereitstellen von Berichten

WatchGuard MDR stellt automatisch regelmäßige Berichte über den Status der Integrität und die Aktivität des Dienstes bereit. Weitere Informationen finden Sie unter MDR-Berichte.

Bereitstellen von Leitlinien für die Problembehebung

WatchGuard SOC stellt Leitlinien zur Problembehebung für jede erkannte Bedrohung bereit. Weitere Informationen finden Sie unter Abhilfemaßnahmen und Problembehebung von Vorfällen.

Partnerberechtigung und -Onboarding

Damit Sie Ihren Kunden den WatchGuard MDR-Dienst anbieten können, sollten Sie sich im Vorfeld mit der Installation, dem Support und der Fehlersuche von WatchGuard EDR, EPDR, Advanced EPDR, Panda AD360, Microsoft Defender, oder Microsoft Office 365 vertraut machen.

Ihr Team muss ferner Zugriff auf die Kundenumgebung haben oder dem SOC-Team die Berechtigung erteilen, damit es direkt mit dem Kunden zusammenarbeiten kann, wenn der MDR-Dienst einen Kompromittierungsversuch erkennt.

Sie müssen zudem an einer Einführungssitzung zum Onboarding von Partnern teilnehmen.

Berechtigung

Um MDR-Dienste anbieten zu können, muss mindestens eine Person 8 Stunden am Tag, 5 Tage die Woche oder 24 Stunden am Tag, 7 Tage die Woche (je nach Modell, das Sie im Onboarding-Prozess ausgewählt haben) verfügbar sein, wenn eine Kontaktaufnahme durch das WatchGuard SOC-Team erforderlich ist. Dies kann beispielsweise der Fall sein, wenn wir Ihre Hilfe benötigen, um festzustellen, ob Aktivitäten, die wir im Kundennetzwerk erkennen, von Ihnen oder Ihrem Kunden genehmigt wurden oder auf eine potenzielle Sicherheitsbedrohung hindeuten.

Wir empfehlen zudem Folgendes:

Sie verfügen über einen skalierbaren Geschäftsplan zur Unterstützung des Wachstums des MDR-Dienstes.
Sie haben für einen WatchGuard Core MDR-Kunden mindestens ein Teammitglied mit einer aktuellen technischen Zertifizierung für WatchGuard Endpoint Security.

Onboarding-Prozess

Wenn Sie die Berechtigungsvoraussetzungen erfüllen, arbeiten Sie mit WatchGuard zusammen, um den Onboarding-Prozess durchzuführen:

Wenden Sie sich an Ihren Kontomanager, um Ihr Interesse an WatchGuard MDR zu bekunden.
Nachdem Ihr Kontomanager Ihre Organisation als berechtigt qualifiziert hat, leitet er die Anfrage an das Onboarding-Team weiter.
Das Onboarding-Team stellt Ihnen oder Ihrem Team Fragen, um wichtige Daten zu sammeln und Ihre Verantwortlichkeiten zu besprechen.
Unterzeichnen Sie die Nutzungsbedingungen des Dienstes.
Füllen Sie die folgenden Formulare aus (vom Onboarding-Team bereitgestellt):
- MDR-Onboarding-Formular
- MDR O365 Onboarding-Formular
- MDR Kundendelegations-Formular
- MDR Microsoft Defender for Endpoint Onboarding-Formular

Reaktion auf Vorfälle

Die Behebung und Optimierung von Vorfällen sind nicht aktiv Teil des WatchGuard MDR-Dienstes. Wenn das WatchGuard SOC-Team Sie oder Ihr Sicherheitsteam wegen eines Vorfalls kontaktiert, müssen Sie die Leitlinien einhalten, die wir zur Reaktion auf den Vorfall bereitstellen.

Vorfalls-Warnmeldungsbenachrichtigungen

Wenn bei einem WatchGuard MDR-Kunden ein Sicherheitsvorfall auftritt, kontaktiert Sie ein Mitglied des SOC-Teams je nach dem von Ihnen im Partner-Onboarding gewählten Eskalationsweg per E-Mail oder Telefon.

WatchGuard kontaktiert Sie bei Vorfällen mit den folgenden Schweregraden:

Schweregrad	Beschreibung	Benachrichtigung
Kritisch	Ein validierter Verstoß oder nicht autorisierter Systemeintrag, der eine unmittelbare Gefahr für Kundenressourcen darstellt, einschließlich aktive Angreifer, Datenverschlüsselung oder -zerstörung und Datenexfiltration.	WatchGuard Core MDR — Ein Mitglied des WatchGuard-SOCs sendet eine E-Mail mit den Informationen über den Vorfall, gefolgt von Anrufen an die Liste der Telefonnummern, die Sie im Onboarding-Prozess für Warnbenachrichtigungen angegeben haben. WatchGuard Core MDR for Microsoft — WatchGuard MDR erbt die Klassifikation des Schweregrads von Vorfällen aus Microsoft Defender for Endpoint. Da Microsoft Defender for Endpoint den Standard-Schweregrad Kritisch nicht nutzt, haben Vorfälle in WatchGuard MDR zunächst keinen Schweregrad Kritisch.
Hoch	Indikatoren für gezielte Angriffe, die potenziell zu einem bestätigten Verstoß oder unberechtigtem Systemzugriff führen können, was eine unmittelbare Bedrohung für Kundenressourcen darstellt.	WatchGuard Core MDR — Das WatchGuard SOC-Team sendet eine Warn-E-Mail mit dem Schweregrad Hoch an die Adresse, die Sie im Onboarding-Prozess mitgeteilt haben. WatchGuard Core MDR for Microsoft — Bei Microsoft Defender for Endpoint-Warnmeldungen mit dem Schweregrad Hoch sendet ein Mitglied des WatchGuard SOC-Teams eine E-Mail-Benachrichtigung mit den Details des Vorfalls, gefolgt von Telefonanrufen an die Kontaktliste für Warnbenachrichtigungen, die beim Onboarding bereitgestellt wurde. Obwohl Kritisch kein Standard-Schweregrad für einzelne Erkennungen in Microsoft Defender ist, kann das SOC-Team eine konkrete Warnmeldung oder eine Kombination von Warnmeldungen überprüfen und das Problem basierend auf den potenziellen Auswirkungen auf einen kritischen Schweregrad hochstufen.

Abhilfemaßnahmen und Problembehebung von Vorfällen

Wenn Sie WatchGuard Endpoint Security verwenden und die WatchGuard Core MDR-Einstellungen für einen Kunden in WatchGuard Cloud konfigurieren, können Sie festlegen, dass das SOC-Team Computer im Kundennetzwerk automatisch isoliert, wenn ein Vorfall auftritt. Weitere Informationen darüber, wie Sie die WatchGuard Core MDR-Einstellungen ändern, finden Sie unter WatchGuard Core MDR-Einstellungen konfigurieren.

Wenn ein Vorfall auftritt, sind Sie für die Abhilfemaßnahmen oder die Aktivitäten nach dem Vorfall verantwortlich, sofern Sie dem SOC-Team nicht die Erlaubnis erteilt haben, direkt mit dem Kunden zusammenzuarbeiten. Das SOC-Team stellt Leitlinien zur Durchführung der Abhilfemaßnahmen für den Kunden bereit. Wir könnten auch Empfehlungen zur Verbesserung der Kundensicherheit geben, um Gefährdungen durch Angreifer zu vermeiden, die in Zukunft dieselben Techniken anwenden.