Bedrohungsübersichtskarte (WatchGuard Cloud)

Gilt für: Cloud-verwaltete Fireboxen Dieses Thema gilt für Fireboxen, die Sie in WatchGuard Cloud konfigurieren., Lokal verwaltete Fireboxen Dieses Thema trifft auf Fireboxen zu, die Sie im Policy Manager oder in der Fireware Web UI konfigurieren.

In WatchGuard Cloud ist die Bedrohungsübersichtskarte eine visuelle Darstellung der Quell- und Zielorte auf der ganzen Welt für den Datenverkehr, der durch Ihre Firebox läuft.

Die Bedrohungsübersichtskarte zeigt nur die Ereignistypen an, die mit dem von Ihnen ausgewählten Wechsel verbunden sind:

• Abgelehnte Pakete (Blockiert) — Es werden nur Ereignisse des Typs Abgelehnt angezeigt
• Blockierte Botnet-Websites — Erscheint nur, wenn Botnet-Verkehr in den Protokollmeldungen enthalten ist
• Intrusion Prevention Service — Zeigt nur abgelehnte Ereignisse an
• Web-Datenverkehr — Zeigt nur zugelassene Ereignisse
• Application Control — Zeigt nur zugelassene Ereignisse
• Gesamter Datenverkehr — Zeigt nur zugelassene Ereignisse an

Sie können die Informationen in der Bedrohungsübersichtskarte für die Quell-IP-Adresse und die Ziel-IP-Adresse (IPv4 oder IPv6) je nach gewählter Ansicht wechseln. Die Anzeigen Web-Datenverkehr, Application Control und Alles Datenverkehr verwenden die Ziel-IP-Adresse für den Standort des Datenverkehrs. In den Anzeigen Abgelehnte Pakete und Intrusion Prevention Service (IPS) wird die Quell-IP-Adresse zur Lokalisierung des Datenverkehrs verwendet. Die Ansicht Blockierte Botnet-Websites zeigt die Quell- und die Ziel-IP-Adressen der Botnet-Website an.

Wenn dieses Dashboard für Ihr Gerät nicht verfügbar ist, folgen Sie den Arbeitsschritten zu Protokollierung für dieses Dashboard aktivieren.

Die Bedrohungsübersichtskarte in WatchGuard Cloud anzeigen

Die Farben, die in der Karte erscheinen, zeigen die Anzahl der Treffer an jedem geografischen Ort für die ausgewählte Ansicht an.

• Rot — Hohe Zahl abgelehnter Ereignisse
• Orange — Mittlere Anzahl abgelehnter Ereignisse
• Gelb — Niedrige Anzahl abgelehnter Ereignisse
• Hellgrün — Hohe Anzahl an zugelassenen Ereignissen
• Hellgrün — Mittlere Anzahl von zugelassenen Ereignissen
• Grau — Keine Ereignisse

Nachdem Sie in der Bedrohungsübersichtskarte eine Option für den Wechsel ausgewählt haben, können Sie auf die Details (z. B. ein Land oder eine IP-Adresse) klicken, um zusätzliche Informationen zu erhalten. Für ein Land enthält dies eine Liste von Protokollen, Städten, IP-Adressen und Treffern. Für eine IP-Adresse enthält dies eine Liste aller Treffer, unabhängig davon, ob es sich um die Quell-IP-Adresse oder die Zieladresse handelt, und ob der Datenverkehr zugelassen oder abgelehnt wurde.

So zeigen Sie die Bedrohungsübersichtskarte in WatchGuard Cloud an:

1. Melden Sie sich bei WatchGuard Cloud an.
2. Wählen Sie Überwachen > Geräte.
   
3. Wählen Sie einen Ordner oder ein bestimmtes Gerät aus.
4. Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf .

5. Wählen Sie in der Liste der Berichte Dashboards > Bedrohungsübersichtskarte.
   Die Seite Bedrohungsübersichtskarte wird geöffnet.

   

6. So zeigen Sie Daten für einen bestimmten Zeitraum an:
   1. Klicken Sie oberhalb der Bedrohungsübersichtskarte auf den aktuell ausgewählten Zeitraum.
      Eine Dropdown-Liste wird geöffnet.
   2. Wählen Sie einen vorgegebenen Zeitraum aus der Liste aus oder wählen Sie Benutzerdefiniert und geben Sie einen benutzerdefinierten Zeitraum an. Weitere Informationen finden Sie unter Berichte und Dashboards nach Datum filtern.
      Die Daten werden für den von Ihnen angegebenen Zeitraum angezeigt.
7. Wählen Sie aus der Dropdown-Liste oberhalb der Bedrohungsübersichtskarte einen Wechsel aus, um die Daten in einer anderen Ansicht neu zu organisieren:
   • Abgelehnte Pakete (blockiert)
   • Blockierte Botnet-Websites
   • Intrusion Prevention Service
   • Web-Datenverkehr
   • Application Control
   • Gesamter Datenverkehr

So zeigen Sie weitere Informationen über die Bedrohungen auf der Karte an:

1. Um Informationen über Bedrohungen aus einem bestimmten Land anzuzeigen, klicken Sie auf dieses Land auf der Karte.
   Wenn Sie Informationen über IP-Adressen von unbekannten geografischen Standorten anzeigen möchten, klicken Sie oben auf der Karte auf den Link Unbekannt.
   Es erscheint eine Liste von Bedrohungen.

   

2. Um weitere Informationen über eine bestimmte IP-Adresse in der Liste anzuzeigen, klicken Sie auf die IP-Adresse.
   Ein Dialogfeld mit spezifischen Details über den Datenverkehr von der ausgewählten IP-Adresse wird geöffnet.

   

Die Karte zum Standort der IP-Adresse verwendet eine Google-API, um den aktuellen Standort einer IP-Adresse zu ermitteln. Es kann zu Inkonsistenzen zwischen diesen Daten und den Standortdaten aus den Firebox-Protokollmeldungen kommen.

Für jede IP-Adresse werden diese Details angezeigt:

• Zeit — Datum und Zeit des Datenverkehrs zur Firebox.
• Status — Ob der Datenverkehr zugelassen oder abgelehnt wurde.
• Quelle — Die Herkunftsadresse für den Datenverkehr.
• Ziel — Die Zieladresse für den Datenverkehr.
• Treffer — Die Anzahl der Treffer für den Datenverkehr.
• Zusätzliche Informationen — Jede andere Information für die IP-Adresse.

3. Um zur Liste der Bedrohungen für ein Land zurückzukehren, klicken Sie auf Zurück zur Liste.

Protokollierung für dieses Dashboard aktivieren

Die Protokollierung für Cloud-verwaltete Fireboxen ist automatisch aktiviert. Für lokal verwaltete Fireboxen müssen Sie die Protokollierung in Fireware Web UI oder Policy Manager manuell aktivieren. Weitere Informationen erhalten Sie in Präferenzen für Protokollierung und Benachrichtigung festlegen.

Erfassen der für dieses Dashboard erforderlichen Daten:

• Aktivieren Sie in den Einstellungen für Protokollierung und Benachrichtigungen für alle Paketfilter die Option Eine Protokollmeldung für Berichte senden. Weitere Informationen finden Sie unter Präferenzen für Protokollierung und Benachrichtigung festlegen.
• Aktivieren Sie in den Allgemeinen Einstellungen für alle Proxy-Aktionen Protokollierung für Berichte aktivieren.
• Aktivieren Sie bei den Einstellungen für Intrusion Prevention das Kontrollkästchen Protokollierung für Bedrohungslevel mit den Aktionen Blockieren und Trennen. Weitere Informationen finden Sie unter Intrusion Prevention konfigurieren.
• Aktivieren Sie bei allen WebBlocker-Actions das Kontrollkästchen Protokollierung für alle Kategorien und aktivieren Sie das Kontrollkästchen Protokollieren Sie diese Aktion, wenn eine URL nicht kategorisiert ist. Weitere Informationen finden Sie unter WebBlocker-Kategorien konfigurieren.

Ähnliche Themen

WatchGuard Cloud-Geräteberichte Liste