ThreatSync+ Regeln konfigurieren

Gilt für: ThreatSync+ NDR, ThreatSync+ SaaS Dieses Thema gilt für ThreatSync und ThreatSync+ NDR.

ThreatSync+ Regeln überwachen Ihr Netzwerk kontinuierlich auf Aktivitäten, die gegen die Regeln Ihrer Organisation verstoßen. Regeln erkennen Schwachstellen und Bedrohungen in Ihrem Netzwerk und generieren Regel-Warnmeldungen, wenn nicht autorisierte Aktivitäten erkannt werden.

Um Ihre Reaktionszeit zu minimieren und Ihren Schutz zu maximieren, ist es wichtig, Ihre Regeln folgenderweise zu konfigurieren und anzupassen:

• Sie entsprechen den Sicherheitsregeln Ihrer Organisation.
• Sie wenden Regeln nur auf die Teile Ihres Netzwerks an, die von Ihren Organisationsregeln vorgegeben werden.
• Sie entsprechen dem angemessenen Schweregrad für Ihre Organisation.

Für die ersten Schritte mit ThreatSync+ Regeln empfehlen wir Ihnen, wie folgt vorzugehen:

• Starten Sie mit einer kleinen, handhabbaren Reihe von Regeln.
• Passen Sie diese Regeln so an, dass Sie nur Warnmeldungen erhalten, die umsetzbar sind — Warnmeldungen, auf die Sie reagieren und die Sie beheben können, sodass die Warnmeldung nicht erneut auftritt.
• Erstellen Sie zusätzliche Regeln, die den Schutz‭ Ihres Netzwerks erweitern, und passen Sie diese an, um zu viele Warnmeldungen zu verhindern.

Empfehlungen für das Anpassen Ihrer Regeln finden Sie unter Regel-Feinabstimmung (Policy Tuning).

Wir empfehlen Ihnen, zwei bis drei Tage zu warten, bevor Sie Regeln konfigurieren, damit ThreatSync+ Ihr Netzwerk überwachen und sich damit vertraut machen kann.

Standard-ThreatSync+ Regeln aktivieren

ThreatSync+ NDR beinhaltet über 100 Standard-Regeln, die Sie aktivieren können. Da manche Standard-Regeln eventuell für Ihr Netzwerk oder Ihre Sicherheitsregeln nicht geeignet sind, sind die meisten Standard-Regeln standardmäßig deaktiviert. Nur eine Untergruppe der Regeln der Ebene 1 ist standardmäßig aktiviert und generieren automatisch Warnmeldungen. Eine Liste der Standard-Regeln finden Sie unter Standard-Regeln und -Zonen.

Die verfügbaren Standard-Regeln hängen von Ihrer Lizenz ab. Weitere Informationen über ThreatSync+ SaaS-Regeln finden Sie unter Regeln der Ebene 1 für ThreatSync+ SaaS — Microsoft 365.

Wenn Sie eine größere Anzahl von Standard-Regeln aktivieren, erhalten Sie eventuell zu viele Warnmeldungen, um auf alle reagieren zu können. Wenn Sie zu wenige Regeln aktivieren, verpassen Sie eventuell wichtige Warnmeldungen über mögliche Bedrohungen in Ihrem Netzwerk.

So aktivieren Sie eine Standard-ThreatSync+ Regel:

1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
2. Wählen Sie Konfigurieren > ThreatSync+ > Regeln.
3. Klicken Sie neben der Standard-Regel, die Sie aktivieren wollen, auf Nicht aktiv.
   Der Regelstatus wechselt zu Live.

Benutzerdefinierte ThreatSync+ Regeln hinzufügen — ThreatSync+ NDR

Sie können eine neue ThreatSync+ Regel erstellen und Regeldefinitionen für Ihr Netzwerk individuell anpassen. Jede Regel bewertet alle Datenverkehrs- oder Ereignisprotokolle zwischen einer Quell- und einer Zielzone und löst eine Warnmeldung aus, wenn spezifische Bedingungen erfüllt sind. Diese Bedingungen sind Aktivitätsauslöser.

Weitere Informationen finden Sie unter Regelbewertung.

So fügen Sie eine benutzerdefinierte ThreatSync+ NDR-Regel hinzu:

1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
2. Wählen Sie Konfigurieren > ThreatSync+ > Regeln.
3. Klicken Sie auf der Seite ThreatSync+ Regeln verwalten auf Neue Regel.
   Die Seite Neue Regel erstellen wird geöffnet.

4. (Optional) Geben Sie in das Textfeld Regel-ID eine Regel-ID ein.

Die Regel-ID identifiziert die Regel eindeutig. Wenn Sie einen benutzerdefinierten Verteidigungszielbericht mit der Compliance Reporting-Lizenz erstellen, ist es empfehlenswert, sich bei einer der im Verteidigungsziel definierten Kontrollen auf eine benutzerdefinierte Regel zu beziehen. Verwenden Sie diese Regel-ID, um die Regel eindeutig zu identifizieren. Wenn Sie keine Regel-ID eingeben, weist ThreatSync+ eine für Sie zu. Weitere Informationen über Compliance Reporting finden Sie unter Über WatchGuard Compliance Reporting.

5. Geben Sie in das Textfeld Regelname einen Namen für Ihre neue Regel ein.
6. (Optional) Geben Sie eine Beschreibung ein.
7. Wählen Sie im Textfeld Tags Tags aus, um sie auf Ihre Regel anzuwenden, oder erstellen Sie Tags.
8. Klicken Sie auf Aktivitätsauslöser.
   Der Abschnitt Aktivitätsauslöser wird erweitert.
9. Wählen Sie im Abschnitt Aktivitätsauslöser, für welche Art von Aktivität Sie die Warnmeldung einrichten wollen: Datenverkehr, Anomalien oder Dienstereignisse.
10. Wählen Sie aus der Dropdown-Liste Wichtigkeit die Wichtigkeit, um sie Ihrer Aktivität zuzuweisen: Sehr niedrig, Niedrig, Mittel, Hoch oder Sehr hoch.
11. Wenn Sie nur Warnmeldungen für spezifischen Datenverkehr erhalten möchten, wählen Sie Warnmeldung für spezifischen Datenverkehr aus und geben Sie die Warnmeldungsbedingungen an.
12. Wenn Sie nur Warnmeldungen für spezifische Anomalien erhalten möchten, wählen Sie Warnmeldung bei spezifischen Anomalien und geben Sie die Warnmeldungsbedingungen an.
13. Wenn Sie nur Warnmeldungen für spezifische Dienstereignisse erhalten möchten, wählen Sie Warnmeldung für spezifische Dienstereignisse aus und geben Sie die Warnmeldungsbedingungen an.
14. Klicken Sie auf Problembehebung.
    Der Abschnitt Problembehebung wird erweitert.

15. Aktivieren Sie das Kontrollkästchen Beteiligte externe IPs bei Verstoß gegen diese Regel automatisch blockieren, wenn Sie die automatische Problembehebung aktivieren möchten.

Um die automatische Problembehebung für eine bestehende ThreatSync+ NDR-Regel zu aktivieren bzw. zu deaktivieren, klicken Sie auf neben der Regel und aktivieren bzw. deaktivieren Sie das Kontrollkästchen Beteiligte externe IPs bei Verstoß gegen diese Regel automatisch blockieren im Abschnitt Problembehebung.

16. Klicken Sie auf Datenverkehrsstrom.
    Der Abschnitt Datenverkehrsstrom wird erweitert.
17. Konfigurieren Sie die Einstellungen für Quelle und Ziel des Datenverkehrsstroms. Wenn Sie eine neue Zone erstellen möchten, klicken Sie auf Zonen erstellen, um zur Seite Zonen zu gelangen. Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.
18. Überprüfen Sie Ihre Regeldetails.
19. Aktivieren Sie Ihre Regel oder speichern Sie sie als Entwurf, um sie später zu überprüfen.

Benutzerdefinierte ThreatSync+ Regeln hinzufügen — ThreatSync+ SaaS

Sie können eine neue ThreatSync+ Regel erstellen und Regeldefinitionen für Ihr Netzwerk individuell anpassen. Jede Regel bewertet Benutzerereignisse und löst eine Warnmeldung aus, wenn spezifische Bedingungen erfüllt sind. Diese Bedingungen sind Aktivitätsauslöser.

So fügen Sie eine benutzerdefinierte ThreatSync+ SaaS-Regel hinzu:

1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
2. Wählen Sie Konfigurieren > ThreatSync+ > Regeln.
3. Klicken Sie auf der Seite ThreatSync+ Regeln verwalten auf Neue Regel.
   
   Die Seite Neue Regel erstellen wird geöffnet.

4. (Optional) Geben Sie in das Textfeld Regel-ID eine Regel-ID ein.

Die Regel-ID identifiziert die Regel eindeutig. Wenn Sie einen benutzerdefinierten Verteidigungszielbericht mit der Compliance Reporting-Lizenz erstellen, ist es empfehlenswert, sich bei einer der im Verteidigungsziel definierten Kontrollen auf eine benutzerdefinierte Regel zu beziehen. Verwenden Sie diese Regel-ID, um die Regel eindeutig zu identifizieren. Wenn Sie keine Regel-ID eingeben, weist ThreatSync+ eine für Sie zu. Weitere Informationen über Compliance Reporting finden Sie unter Über WatchGuard Compliance Reporting.

5. Geben Sie in das Textfeld Regelname einen Namen für Ihre neue Regel ein.
6. Geben Sie eine Beschreibung ein.
7. Wählen Sie im Textfeld Tags den Tag Office 365, oder erstellen Sie Tags, um sie auf Ihre Regel anzuwenden.
8. Klicken Sie auf Aktivitätsauslöser.
   Der Abschnitt Aktivitätsauslöser wird erweitert.
9. Wählen Sie im Abschnitt Aktivitätsauslöser Benutzer-Ereignisse.
10. Wählen Sie aus der Dropdown-Liste Wichtigkeit die Wichtigkeit, um sie Ihrer Aktivität zuzuweisen: Sehr niedrig, Niedrig, Mittel, Hoch oder Sehr hoch.
11. Wenn Sie Warnmeldungen für alle Benutzerereignisse erhalten möchten, wählen Sie Warnmeldung bei allen Benutzerereignissen.
12. Wenn Sie nur Warnmeldungen für spezifische Benutzerereignisse erhalten möchten, wählen Sie Warnmeldung für spezifische Benutzerereignisse aus und geben Sie die Warnmeldungsbedingungen an.
13. Klicken Sie auf Benutzerzone.
    Der Abschnitt Benutzerzone wird erweitert.

14. Konfigurieren Sie die Einstellungen für Benutzerzonen. Wenn Sie eine neue Zone erstellen möchten, klicken Sie auf Zonen erstellen, um zur Seite Zonen zu gelangen. Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.

15. Klicken Sie auf Problembehebung.
    Der Abschnitt Problembehebung wird erweitert.

16. Aktivieren Sie das Kontrollkästchen Beteiligte Zonenbenutzer bei Verstoß gegen diese Regel automatisch deaktivieren, wenn Sie die automatische Problembehebung aktivieren möchten.

Um die automatische Problembehebung für eine bestehende ThreatSync+ SaaS-Regel zu aktivieren bzw. zu deaktivieren, klicken Sie auf neben der Regel und aktivieren bzw. deaktivieren Sie das Kontrollkästchen Beteiligte Zonenbenutzer bei Verstoß gegen diese Regel automatisch deaktivieren im Abschnitt Problembehebung.

17. Überprüfen Sie Ihre Regeldetails.
18. Aktivieren Sie Ihre Regel oder speichern Sie sie als Entwurf, um sie später zu überprüfen.

ThreatSync+ Regeln aktivieren oder deaktivieren

Auf der Seite Regeln verwalten können Sie eine oder mehrere Regeln aktivieren oder deaktivieren. Wenn Sie eine Regel aktivieren, erkennt ThreatSync+ Verstöße gegen Zugriffsregeln Ihrer Organisation und generiert Regel-Warnmeldungen, um Sie über Regelverstöße zu informieren.

Standard-Regeln ähneln Vorlagen. Wenn Sie eine Standard-Regel aktivieren oder bearbeiten, dann speichert ThreatSync+ eine Kopie der Regel für Sie. Wenn Sie die Kopie löschen, werden alle Änderungen, die Sie in der Regeldefinition vorgenommen haben, verworfen und die Regel wird auf die Standard-Regeldefinition zurückgesetzt. Weitere Informationen finden Sie unter Über ThreatSync+ Regeln und Zonen.

So aktivieren oder deaktivieren Sie eine ThreatSync+ Regel auf der Seite Regeln verwalten:

1. Wählen Sie eine oder mehrere Regeln aus, die Sie bearbeiten möchten.
2. Klicken Sie auf .
3. Wählen Sie Ausgewählte aktivieren oder Ausgewählte deaktivieren.

4. Sie können auch auf Live in der Spalte Status klicken, um die Regel zu deaktivieren und den Status auf Nicht aktiv zu ändern, oder Sie klicken auf Nicht aktiv, um die Regel zu aktivieren und den Status auf Live zu setzen.

Schweregradskala für Regel-Warnmeldungen bearbeiten

Für Regel-Warnmeldungen, die auf Maschinenlernen basieren, erstellt ThreatSync+ eine Baseline der Aktivität und generiert Warnmeldungen nur, wenn der Datenverkehr von dieser Baseline abweicht. Beispielsweise generiert ein unerwartet hohes Volumen der an das Internet gesendeten Daten eine Warnmeldung, weil dies wesentlich von der Baseline-Aktivität abweicht.

Wenn Sie weniger Warnmeldungen generieren möchten, dann können Sie die Warnmeldungssensibilität anpassen, um die Erkennung weniger empfindlich zu machen.

So bearbeiten Sie die Schweregradskala für Warnmeldungen für eine spezifische ThreatSync+ Regel:

1. Klicken Sie auf der Seite ThreatSync+ Regeln verwalten auf neben der Regel, die Sie bearbeiten möchten.
   Die Seite Regeldetails wird geöffnet.
2. Klicken Sie im Abschnitt Aktivitätsauslöser neben Schweregradskala für Warnmeldung auf .
   Das Dialogfeld Schweregradskala für Warnmeldungen bearbeiten wird geöffnet.

3. Um die Schweregradskala für Warnmeldungen zu ändern, ziehen Sie den Regler zu einem neuen Wert. Um weniger Warnmeldungen zu generieren, wählen Sie einen höheren Wert. Um mehr Warnmeldungen zu generieren, wählen Sie einen niedrigeren Wert.
4. Klicken Sie auf Speichern.

Sie können die Schweregradskala für Warnmeldungen auch auf der Seite Datenverkehr bearbeiten, wenn spezifische Anomalietypen mit der Datenquelle Ereignisse ausgewählt sind. Weitere Informationen finden Sie unter ThreatSync+ Datenverkehr untersuchen.

Ähnliche Themen

Über ThreatSync+ Regeln und Zonen

Über Regel-Warnmeldungen

ThreatSync+ konfigurieren