ThreatSync+ Warnmeldungs- und Benachrichtigungsrichtlinien konfigurieren

Gilt für: ThreatSync+ NDR, ThreatSync+ SaaS

Sie können WatchGuard Cloud dazu konfigurieren, E-Mail-Benachrichtigungen zu senden, wenn ThreatSync+ eine Bedrohung oder Schwachstelle erkennt. Um E-Mail-Benachrichtigungen einzurichten, geben Sie an, welche SaaS-Kollektoren, Regel-Warnmeldungen und Smart Alerts eine Benachrichtigung generieren, wenn sie erstellt oder aktualisiert werden.

Warnmeldungen in ThreatSync+ konfigurieren

Auf der Seite Warnmeldungen geben Sie an, welche Kollektoren, Problembehebungsaktionen, SaaS-Kollektoren, Regeln und Smart Alert-Typen in die von Ihnen konfigurierten Benachrichtigungsrichtlinien einbezogen werden, um Warnmeldungen zu generieren und E-Mail-Benachrichtigungen von WatchGuard Cloud zu senden.

Die im Abschnitt Problembehebung verfügbaren Warnmeldungen hängen vom Typ Ihrer Lizenz ab. IP-Adresse blockieren ist mit einer ThreatSync+ NDR-Lizenz verfügbar, Benutzer blockieren hingegen mit einer ThreatSync+ SaaS-Lizenz.

Der Abschnitt SaaS-Kollektoren ist nur mit einer ThreatSync+ SaaS-Lizenz verfügbar. Weitere Informationen finden Sie unter Über ThreatSync+ SaaS-Lizenzen.

Um ThreatSync+ Warnmeldungen zu konfigurieren, gehen Sie in WatchGuard Cloud wie folgt vor:

  1. Wählen Sie Konfigurieren > ThreatSync+ > Warnmeldungen.
    Die Seite Warnmeldungen wird geöffnet.

Screenshot of the Alerts page in the Configure menu in ThreatSync+ NDR

  1. Wählen Sie im Abschnitt Kollektoren die Kollektor-Optionen, die Sie in Ihre Warnmeldungen einbeziehen wollen.
    • Empfangene DHCP-Protokolle nach Quell-IP-Adresse
      • Betriebsbereit — Aktivieren Sie dieses Kästchen, um eine Benachrichtigung zu senden, wenn der Kollektor nach einem Misserfolgsereignis wieder in Betrieb ist und den ThreatSync+ Datenupload wieder aufnimmt.
      • Misserfolg — Aktivieren Sie dieses Kontrollkästchen, um eine Benachrichtigung zu senden, wenn ein Misserfolgsereignis eintritt. Ein Misserfolgsereignis tritt ein, wenn der Kollektor 120 Minuten lang keine Daten zu ThreatSync+ hochlädt.
        • Unterdrückungszeit — ThreatSync+ wird weiter alle 120 Minuten Misserfolgsereignisse erzeugen, bis der Remote-Kollektor wieder in Betrieb ist und den Daten-Upload wieder aufnimmt. Konfigurieren Sie die Unterdrückungszeit, um den Zeitraum zwischen aufeinanderfolgenden Misserfolgsbenachrichtigungen festzulegen.
    • Remote-Kollektor-Heartbeat
      • Betriebsbereit — Aktivieren Sie diese Option, um eine Benachrichtigung zu senden, wenn der Remote-Kollektor nach einem Misserfolgsereignis wieder in Betrieb ist. Diese Benachrichtigung zeigt an, dass der Remote-Kollektor wieder online ist und läuft.
      • Misserfolg — Wählen Sie diese Option, um eine Benachrichtigung zu senden, wenn ein Misserfolgsereignis eintritt. ThreatSync+ generiert ein Misserfolgsereignis, wenn 20 Minuten lang keine Heartbeat-Meldung empfangen wird.
        • Unterdrückungszeit — ThreatSync+ wird weiter alle 20 Minuten Misserfolgsereignisse erzeugen, bis der Remote-Kollektor wieder in Betrieb ist und eine Heartbeat-Meldung empfangen wurde. Konfigurieren Sie die Unterdrückungszeit, um den Zeitraum zwischen aufeinanderfolgenden Misserfolgsbenachrichtigungen festzulegen.
        • Warnmeldung nach Heartbeat-Verlust für — Angabe der Zeit, in der die Meldung nach einem Verlust des Heartbeats generiert wird.
    • NetFlow-Protokolle empfangen
      • Betriebsbereit — Wählen Sie diese Option, um eine Benachrichtigung zu senden, wenn der Remote-Kollektor nach einem Misserfolgsereignis wieder in Betrieb ist und NetFlow-Protokolle empfangen werden.
      • Misserfolg — Wählen Sie diese Option, um eine Benachrichtigung zu senden, wenn ein Misserfolgsereignis eintritt. ThreatSync+ generiert eine Fehlerbenachrichtigung, wenn 20 Minuten lang keine NetFlow-Protokolle empfangen werden.
        • Unterdrückungszeit — ThreatSync+ wird weiter alle 20 Minuten Misserfolgsereignisse erzeugen, bis der Kollektor nach einem Misserfolgsereignis wieder in Betrieb ist und NetFlow-Protokolle empfangen werden. Konfigurieren Sie die Unterdrückungszeit, um den Zeitraum zwischen aufeinanderfolgenden Misserfolgsbenachrichtigungen festzulegen.
    • Empfangene NetFlow-Protokolle nach Quell-IP-Adresse
      • Betriebsbereit — Wählen Sie diese Option, um eine Benachrichtigung zu senden, wenn der Kollektor nach einem Misserfolgsereignis wieder in Betrieb ist und den ThreatSync+ Datenupload wieder aufnimmt.
      • Misserfolg — Wählen Sie diese Option, um eine Benachrichtigung zu senden, wenn ein Misserfolgsereignis eintritt. ThreatSync+ generiert eine Fehlerbenachrichtigung, wenn der Kollektor 20 Minuten lang keine Daten zu ThreatSync+ hochgeladen hat.
        • Unterdrückungszeit — ThreatSync+ wird weiter alle 20 Minuten Misserfolgsereignisse erzeugen, bis der Remote-Kollektor wieder in Betrieb ist und den Daten-Upload wieder aufnimmt. Konfigurieren Sie die Unterdrückungszeit, um den Zeitraum zwischen aufeinanderfolgenden Misserfolgsbenachrichtigungen festzulegen.
  2. Wählen Sie im Abschnitt SaaS-Kollektoren die Microsoft 365 Heartbeat-Optionen, die Sie in Ihre Warnmeldungen einbeziehen wollen.
    • Betriebsbereit — Aktivieren Sie diese Option, um eine Benachrichtigung zu senden, wenn der SaaS-Kollektor nach einem Misserfolgsereignis wieder in Betrieb ist. Diese Benachrichtigung zeigt an, dass der SaaS-Kollektor wieder online ist und ordnungsgemäß läuft.
    • Misserfolg — Wählen Sie diese Option, um eine Benachrichtigung zu senden, wenn ein Misserfolgsereignis eintritt. ThreatSync+ SaaS generiert eine Fehlerbenachrichtigung, wenn 120 Minuten lang keine Heartbeat-Meldung vom SaaS-Kollektor empfangen wurde.
      • Unterdrückungszeit — ThreatSync+ wird weiter alle 120 Minuten Misserfolgsereignisse generieren, bis der SaaS-Kollektor wieder in Betrieb ist. Konfigurieren Sie die Unterdrückungszeit, um den Zeitraum zwischen aufeinanderfolgenden Misserfolgsbenachrichtigungen festzulegen.
  3. Aktivieren Sie im Abschnitt Problembehebung die Kontrollkästchen neben den Blockieraktionen, die Sie in Ihre Warnmeldungen einbeziehen wollen.
    • IP-Adresse blockieren
      • IP-Adresse automatisch blockiert
      • IP-Adresse manuell blockiert
      • Blockierung der IP-Adresse manuell aufgehoben
    • Benutzer blockieren
      • Benutzer automatisch blockiert
      • Benutzer manuell blockiert
      • Blockierung des Benutzer manuell aufgehoben
  4. Aktivieren Sie im Abschnitt Regeln die Kontrollkästchen neben den Regeln, die Sie in Ihre Warnmeldungen einbeziehen wollen. Achten Sie darauf, dass der Regelstatus Live lautet, um Warnmeldungen zu erhalten. Um Ihre Warnmeldungen zu bündeln, wählen Sie eine der folgenden Optionen aus der Dropdown-Liste Standard (Regel und Quelle):
    • Regel — Alle Benachrichtigungen werden zusammen mit derselben Regel gebündelt.
    • Regel und Quelle — Alle Benachrichtigungen werden gebündelt, wenn Regelname und Quelle identisch sind.
    • Regel, Quelle und Ziel — Alle Benachrichtigungen werden gebündelt, wenn Regelname, Quelle und Ziel identisch sind.
      • Wählen Sie im Abschnitt Dauer eine Zeitdauer zwischen einer und zwölf Stunden für die Dauer der gebündelten Warnmeldungen aus. Die Standardeinstellung ist eine Stunde.

Die Warnmeldungsbündelungsoption Regel, Quelle und Ziel ist für ThreatSync+ SaaS-Regel-Warnmeldungen nicht verfügbar.

  1. Aktivieren Sie im Abschnitt Smart Alerts für jeden Smart Alert-Typ, den Sie in Ihre Warnmeldungen einbeziehen wollen, eines oder beide der Kontrollkästchen Erstellt und Aktualisiert.

Benachrichtigungsrichtlinien in WatchGuard Cloud konfigurieren — ThreatSync+ NDR

In WatchGuard Cloud können Sie Benachrichtigungsrichtlinien konfigurieren, um Warnmeldungen zu generieren und E-Mail-Benachrichtigungen für ThreatSync+ Aktivitäten zu senden. Benachrichtigungsrichtlinien erleichtern es Ihnen, auf aufkommende Bedrohungen in Ihrem Netzwerk zu reagieren.

Auf der Seite Richtlinien können Sie alle Richtlinien sehen, die für Ihr Konto erstellt wurden. Standardmäßig gibt es mehrere vordefinierte Richtlinien. Sie können die Standard-Richtlinien bearbeiten und den Namen, die Beschreibung und die Zustellmethode ändern. Wenn Sie als Zustellmethode E-Mail auswählen, können Sie auch die Häufigkeit der Warnmeldungen ändern. Es gibt einige Standard-Systemrichtlinien, die Sie nicht löschen können.

Screen shot of WatchGuard Cloud Notifications page, Rules

Typen von ThreatSync+ NDR-Benachrichtigungen

Jede Benachrichtigungsrichtlinie in WatchGuard Cloud verwendet einen Benachrichtigungstyp, der die Aktion oder das Ereignis angibt, das die Richtlinie zur Generierung einer Warnmeldung veranlasst.

Regel-Warnmeldung

Generiert eine Warnmeldung, wenn eine neue Regel-Warnmeldung für Ihr Konto generiert wird.

Smart Alert Erstellt

Generiert eine Warnmeldung, wenn eine Smart Alert erstellt wird.

Smart Alert Aktualisiert

Generiert eine Warnmeldung, wenn eine Smart Alert aktualisiert wird.

Keine DHCP-Protokolle von einer Quelle empfangen

Generiert eine Warnmeldung, wenn 120 Minuten lang keine DHCP-Protokolle von einer Quelle empfangen werden.

DHCP-Protokolle von einer Quelle empfangen

Generiert eine Warnmeldung, wenn DHCP-Protokolle von einer Quelle empfangen werden.

Kein Heartbeat von NDR-Kollektor erkannt

Generiert eine Warnmeldung, wenn 20 Minuten lang keine Heartbeat-Meldung von einem ThreatSync+ NDR-Kollektor empfangen wird.

Heartbeat von NDR-Kollektor erkannt

Generiert eine Warnmeldung, wenn nach einem Kollektorfehler eine Heartbeat-Meldung von einem ThreatSync+ NDR-Kollektor empfangen wird.

Keine NetFlow-Protokolle empfangen

Generiert eine Warnmeldung, wenn 20 Minuten lang keine NetFlow-Protokolle von ThreatSync+ NDR-Netzwerkgeräten empfangen werden.

NetFlow-Protokolle empfangen

Generiert eine Warnmeldung, wenn NetFlow-Protokolle empfangen werden.

Keine NetFlow-Protokolle von einer Quelle empfangen

Generiert eine Warnmeldung, wenn 20 Minuten lang keine NetFlow-Protokolle von einer Quelle empfangen werden.

NetFlow-Protokolle von einer Quelle empfangen

Generiert eine Warnmeldung, wenn NetFlow-Protokolle von einer Quelle empfangen werden.

IP-Adressen sind automatisch blockiert

Generiert eine Warnmeldung, wenn IP-Adressen automatisch durch eine ThreatSync+ NDR-Regel blockiert werden.

IP-Adressen sind manuell blockiert

Generiert eine Warnmeldung, wenn IP-Adressen manuell blockiert werden.

Blockierung der IP-Adressen wird manuell aufgehoben

Generiert eine Warnmeldung, wenn IP-Adressen manuell entblockt werden.

ThreatSync+ NDR-Benachrichtigungsrichtlinien hinzufügen

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Benachrichtigungsrichtlinien konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So fügen Sie in WatchGuard Cloud eine neue Benachrichtigungsrichtlinie hinzu:

  1. Wählen Sie Administration > Benachrichtigungen.
  2. Wählen Sie die Registerkarte Richtlinien.

Screen shot of WatchGuard Cloud Notifications page, Add Rule

  1. Klicken Sie auf Richtlinie hinzufügen‭‭.
  2. Geben Sie auf der Seite Richtlinie hinzufügen‭ im Textfeld Name einen Namen für Ihre Richtlinie ein, damit Sie sie später einfacher wiedererkennen können.
  3. Wählen Sie in der Dropdown-Liste Benachrichtigungsquelle die Option ThreatSync+ NDR aus.
  4. Wählen Sie in der Dropdown-Liste Benachrichtigungstyp die Aktion oder das Ereignis aus, die/das diese Richtlinie veranlasst, eine Warnmeldung zu erzeugen.
  5. (Optional) Geben Sie eine Beschreibung Ihrer Richtlinie ein.
  6. Wählen Sie aus der Dropdown-Liste Zustellmethode eine der folgenden Optionen aus:
    • Keine — Die Richtlinie erzeugt eine Warnmeldung, die auf der Seite Warnmeldungen in WatchGuard Cloud aufgeführt wird.
    • E-Mail — Die Richtlinie erzeugt eine Warnmeldung, die auf der Seite Warnmeldungen in WatchGuard Cloud aufgeführt wird, und sendet eine E-Mail-Benachrichtigung an die vorgegebenen Empfänger.
  7. Wenn Sie als Zustellmethode E-Mail auswählen:
    1. Konfigurieren Sie von der Dropdown-Liste Häufigkeit aus, wie viele E-Mail-Nachrichten die Richtlinie pro Tag senden kann:
      • Wählen Sie Alle Warnmeldungen senden, damit die Richtlinie für jede erzeugte Warnmeldung eine E-Mail-Nachricht sendet.
      • Wählen Sie Sende höchstens, um zu beschränken, wie viele E-Mail-Nachrichten die Richtlinie pro Tag sendet. Geben Sie in das Textfeld Warnmeldungen pro Tag die maximale Anzahl der E-Mail-Nachrichten ein, die diese Richtlinie pro Tag senden kann. Sie können einen Wert von bis zu 20.000 Warnmeldungen pro Tag vorgeben.
    2. Geben Sie in das Textfeld Betreff die Betreffzeile für die E-Mail-Nachricht ein, die von dieser Richtlinie gesendet wird, wenn sie eine Warnmeldung erzeugt. Sie können hier maximal 78 Zeichen eingeben.
    3. Geben Sie im Textfeld Empfänger die E-Mail-Adressen der einzelnen Personen ein, die eine E-Mail-Nachricht erhalten sollen, wenn diese Richtlinie eine Warnmeldung erzeugt. Sie können mehrere E-Mail-Adressen eingeben. Drücken Sie nach jeder E-Mail-Adresse die Enter-Taste oder trennen Sie die E-Mail-Adressen durch ein Leerzeichen, ein Komma oder ein Semikolon. Aktivieren Sie das Kontrollkästchen JSON, wenn Sie E-Mail-Benachrichtigungen im JSON-Format erhalten möchten.

    Screen shot of the Delivery Method section for ThreatSync+ on the Add Rules page in WatchGuard Cloud

  8. Klicken Sie auf Richtlinie hinzufügen‭‭.

Zum Löschen einer Benachrichtigungsrichtlinie klicken Sie auf das SymbolScreen shot of the Delete iconneben der zu löschenden Richtlinie.

Weitere Informationen zur Verwaltung von Warnmeldungen finden Sie unter WatchGuard Cloud-Warnmeldungen verwalten.

Benachrichtigungsrichtlinien in WatchGuard Cloud konfigurieren — ThreatSync+ SaaS

In WatchGuard Cloud können Sie Benachrichtigungsrichtlinien konfigurieren, um Warnmeldungen zu generieren und E-Mail-Benachrichtigungen für ThreatSync+ Aktivitäten zu senden. Benachrichtigungsrichtlinien erleichtern es Ihnen, auf aufkommende Bedrohungen in Ihrem Netzwerk zu reagieren.

Auf der Seite Richtlinien können Sie alle Richtlinien sehen, die für Ihr Konto erstellt wurden. Standardmäßig gibt es mehrere vordefinierte Richtlinien. Sie können die Standard-Richtlinien bearbeiten und den Namen, die Beschreibung und die Zustellmethode ändern. Wenn Sie als Zustellmethode E-Mail auswählen, können Sie auch die Häufigkeit der Warnmeldungen ändern. Es gibt einige Standard-Systemrichtlinien, die Sie nicht löschen können.

Screen shot of WatchGuard Cloud Notifications page, Rules

Typen von ThreatSync+ SaaS-Benachrichtigungen

Jede Benachrichtigungsrichtlinie in WatchGuard Cloud verwendet einen Benachrichtigungstyp, der die Aktion oder das Ereignis angibt, das die Richtlinie zur Generierung einer Warnmeldung veranlasst.

SaaS-Regel-Warnmeldung

Generiert eine Warnmeldung, wenn ThreatSync+ SaaS eine neue Regel-Warnmeldung für Ihr Konto generiert.

Heartbeat erkannt

Generiert eine Warnmeldung, wenn ThreatSync+ SaaS einen Heartbeat von Ihrer SaaS-Integration erkennt. SaaS-Kollektoren kommunizieren alle 30 Minuten mit Microsoft 365, um zu bestätigen, dass die Integration ordnungsgemäß funktioniert.

Heartbeat nicht erkannt

Generiert eine Warnmeldung, wenn ThreatSync+ SaaS 120 Minuten lang keinen Heartbeat von Ihrer SaaS-Integration erkennt.

Benutzerkonten sind automatisch deaktiviert

Generiert eine Warnmeldung, wenn ein Microsoft 365-Benutzerkonto automatisch durch eine ThreatSync+ SaaS-Regel deaktiviert wird.

Benutzerkonten sind manuell deaktiviert

Generiert eine Warnmeldung, wenn ein Microsoft 365-Benutzerkonto manuell deaktiviert wird.

Benutzerkonten sind manuell aktiviert

Generiert eine Warnmeldung, wenn ein Microsoft 365-Benutzerkonto manuell aktiviert wird.

ThreatSync+ SaaS-Benachrichtigungsrichtlinien hinzufügen

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Benachrichtigungsrichtlinien konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So fügen Sie in WatchGuard Cloud eine neue Benachrichtigungsrichtlinie hinzu:

  1. Wählen Sie Administration > Benachrichtigungen.
  2. Wählen Sie die Registerkarte Richtlinien.

Screen shot of WatchGuard Cloud Notifications page, Add Rule

  1. Klicken Sie auf Richtlinie hinzufügen‭‭.
  2. Geben Sie auf der Seite Richtlinie hinzufügen‭ im Textfeld Name einen Namen für Ihre Richtlinie ein, damit Sie sie später einfacher wiedererkennen können.
  3. Wählen Sie in der Dropdown-Liste Benachrichtigungsquelle die Option ThreatSync+ SaaS aus.
  4. Wählen Sie in der Dropdown-Liste Benachrichtigungstyp die Aktion oder das Ereignis aus, die/das diese Richtlinie veranlasst, eine Warnmeldung zu erzeugen.
  5. (Optional) Geben Sie eine Beschreibung Ihrer Richtlinie ein.
  6. Wählen Sie aus der Dropdown-Liste Zustellmethode eine der folgenden Optionen aus:
    • Keine — Die Richtlinie erzeugt eine Warnmeldung, die auf der Seite Warnmeldungen in WatchGuard Cloud aufgeführt wird.
    • E-Mail — Die Richtlinie erzeugt eine Warnmeldung, die auf der Seite Warnmeldungen in WatchGuard Cloud aufgeführt wird, und sendet eine E-Mail-Benachrichtigung an die vorgegebenen Empfänger.
  7. Wenn Sie als Zustellmethode E-Mail auswählen:
    1. Konfigurieren Sie von der Dropdown-Liste Häufigkeit aus, wie viele E-Mail-Nachrichten die Richtlinie pro Tag senden kann:
      • Wählen Sie Alle Warnmeldungen senden, damit die Richtlinie für jede erzeugte Warnmeldung eine E-Mail-Nachricht sendet.
      • Wählen Sie Sende höchstens, um zu beschränken, wie viele E-Mail-Nachrichten die Richtlinie pro Tag sendet. Geben Sie in das Textfeld Warnmeldungen pro Tag die maximale Anzahl der E-Mail-Nachrichten ein, die diese Richtlinie pro Tag senden kann. Sie können einen Wert von bis zu 20.000 Warnmeldungen pro Tag vorgeben.
    2. Geben Sie in das Textfeld Betreff die Betreffzeile für die E-Mail-Nachricht ein, die von dieser Richtlinie gesendet wird, wenn sie eine Warnmeldung erzeugt. Sie können hier maximal 78 Zeichen eingeben.
    3. Geben Sie im Textfeld Empfänger die E-Mail-Adressen der einzelnen Personen ein, die eine E-Mail-Nachricht erhalten sollen, wenn diese Richtlinie eine Warnmeldung erzeugt. Sie können mehrere E-Mail-Adressen eingeben. Drücken Sie nach jeder E-Mail-Adresse die Enter-Taste oder trennen Sie die E-Mail-Adressen durch ein Leerzeichen, ein Komma oder ein Semikolon. Aktivieren Sie das Kontrollkästchen JSON, wenn Sie E-Mail-Benachrichtigungen im JSON-Format erhalten möchten.

    Screen shot of the Delivery Method section for ThreatSync+ on the Add Rules page in WatchGuard Cloud

  8. Klicken Sie auf Richtlinie hinzufügen‭‭.

Zum Löschen einer Benachrichtigungsrichtlinie klicken Sie auf das SymbolScreen shot of the Delete iconneben der zu löschenden Richtlinie.

Weitere Informationen zur Verwaltung von Warnmeldungen finden Sie unter WatchGuard Cloud-Warnmeldungen verwalten.

Ähnliche Themen

WatchGuard Cloud-Warnmeldungen verwalten

Auditprotokolle anzeigen

ThreatSync+ konfigurieren