Subnetze und Organisationen konfigurieren

Gilt für: ThreatSync+ NDR

Ein Subnetz ist ein kleineres Netzwerk, das durch die Aufteilung eines größeren Netzwerks in gleichgroße Teile entsteht. Sie konfigurieren Subnetze und IP-Adressbereiche auf der Seite Subnetze verwalten, um Ihre internen Netzwerke und wichtigen Systeme zu kennzeichnen und ThreatSync+ NDR dadurch bei der Erkennung von Rogue-Geräten zu unterstützen.

Interne Systeme, die nicht Teil eines Subnetzes oder eines IP-Bereichs sind, werden als Mitglieder einer Nicht vertrauenswürdigen privaten Gruppe identifiziert.

Screen shot of Manage Subnets page, ThreatSync+ NDR

Auf der Seite Subnetze verwalten können Sie auch vorgeben, für welchen Anteil des Netzwerks Sie möchten, dass ThreatSync+ NDR den Datenverkehr überwacht.

Datenverkehrsüberwachungsverhalten angeben

Sie können Subnetze und IP-Adressbereiche vorgeben, um interne Netzwerke und wichtige Systeme zu kennzeichnen und einzuschränken, welchen Anteil des Datenverkehrs ThreatSync+ NDR überwachen soll. Sie können ein Subnetz oder einen IP-Adressbereich von der Netzwerk-Datenverkehrsüberwachung ausschließen.

WatchGuard empfiehlt, dass Sie den gesamten Datenverkehr überwachen.

Screen shot of Manage Subnets page, ThreatSync+ NDR, select monitoring behavior

Es gibt drei Optionen, um festzulegen, welchen Anteil Ihres Netzwerks ThreatSync+ NDR überwacht und um das Datenverkehrsüberwachungsverhalten vorzugeben:

  • Gesamten Datenverkehr überwachen — Überwacht den gesamten Datenverkehr ohne Einschränkungen. Dies beinhaltet alle aufgeführten Subnetze und Ausnahmen. Diese Option ist standardmäßig aktiviert.
  • Nur meine kritischen Systeme überwachen — Überwacht nur eine Kerngruppe von Systemen auf Basis der von Ihnen in die Liste aufgenommenen Subnetze und IP-Adressen. Die Beschreibung, wie Sie diese Option konfigurieren, finden Sie unter Nur meine kritischen Systeme überwachen.
  • Adressbereiche vom Überwachen ausschließen — Überwacht den gesamten Datenverkehr mit Ausnahme der Subnetze und IP-Adressbereiche, die Sie in der Liste ausschließen. Ausgenommene Subnetze und IP-Adressbereiche werden unabhängig von der Richtung des Datenverkehrs nicht überwacht. Die Beschreibung, wie Sie diese Option konfigurieren, finden Sie unter Adressbereiche vom Überwachen ausschließen.

Subnetze in ThreatSync+ NDR erstellen

Erstellen Sie Subnetze und IP-Adressbereiche, um interne Netzwerke und wichtige Systeme zu kennzeichnen.

So erstellen Sie ein Subnetz in WatchGuard Cloud:

  1. Wählen Sie Konfigurieren > ThreatSync+ > Subnetze und Organisationen.
  2. Klicken Sie auf Neues Subnetz.
  3. Geben Sie im Abschnitt Subnetze erstellen den CIDR-Subnetzbereich (z. B. 192.168.34.0/24) oder Beginn und Ende eines IP-Adressbereichs ein (z. B. 192.168.34.1 und 192.168.34.88).
    Eine End-IP-Adresse ist erforderlich, wenn Sie keinen CIDR-Subnetzbereich eingeben.

Screen shot of Manage Subnets page, ThreatSync+ NDR, Create a Subnet

  1. Geben Sie in das Textfeld Organisation einen Namen für den Adressbereich ein.
    Der Organisationsname wird auf anderen Zusammenfassungs- und Detailseiten angezeigt.
  2. Wählen Sie aus der Dropdown-Liste Gerätetyp einen Standard-Gerätetyp und ein Symbol, der/die in der Benutzeroberfläche für diesen Bereich verwendet wird (z. B. ein Computer, Server oder Gateway).
  3. Geben Sie in das Textfeld Organisations-Tags eine Kennung ein, um das System im Adressbereich weiter zu beschreiben.
    Organisations-Tags sind für das Gruppieren von Assets nützlich.
  4. Falls die Adressen in diesem Bereich von Ihren DHCP-Servern zugewiesen werden, aktivieren Sie das Kontrollkästchen Von DHCP verwaltet.
    Dies hilft, die Netzwerkanalysen zu verbessern.
  5. Klicken Sie auf Speichern.
    Das neue Subnetz bzw. der neue IP-Adressbereich wird in der Liste angezeigt. Sie können die Liste filtern und die Liste als CSV-Datei exportieren. Um einen bestehenden IP-Adressbereich oder ein bestehendes Subnetz zu bearbeiten, klicken Sie auf neben der Zeile, die Sie bearbeiten wollen. Klicken Sie auf , um den IP-Adressbereich bzw. das Subnetz zu löschen.

Screenshot of a newly added subnet on the Manage Subnets and Organizations page

Nur meine kritischen Systeme überwachen

So überwachen Sie nur ausgewählte Systeme:

  1. Wählen Sie Konfigurieren > ThreatSync+ > Subnetze und Organisationen.
  2. Wählen Sie Nur meine kritischen Systeme überwachen. Klicken Sie auf Speichern.
  3. Klicken Sie auf neben dem IP-Adressbereich bzw. Subnetz, den/das Sie einbeziehen wollen.
  4. Wählen Sie Einschließen.
  5. Klicken Sie auf Das grüne Häkchen-Symbol.
    Das ausgewählte Subnetz bzw. der ausgewählte IP-Adressbereich wird in die Netzwerküberwachung einbezogen.

Screenshot of the Monitor Only My Critical Systems options to monitor network traffic

Adressbereiche vom Überwachen ausschließen

So schließen Sie Adressbereiche von der Überwachung aus:

  1. Wählen Sie Konfigurieren > ThreatSync+ > Subnetze und Organisationen.
  2. Wählen Sie Adressbereiche vom Überwachen ausschließen. Klicken Sie auf Speichern.
  3. Klicken Sie auf neben dem IP-Adressbereich bzw. Subnetz, den/das Sie ausschließen wollen.
  4. Wählen Sie Ausschließen.
  5. Klicken Sie auf Das grüne Häkchen-Symbol.
    Das ausgewählte Subnetz bzw. der ausgewählte IP-Adressbereich wird von der Netzwerküberwachung ausgeschlossen.

Screenshot of the Exclude Address Ranges From Monitoring option to monitor network traffic

Ähnliche Themen

ThreatSync+ konfigurieren

Bewährte Verfahren für ThreatSync+ NDR