ThreatSync+ NDR Asset-Erkennung

Gilt für: ThreatSync+ NDR

Durch die Asset-Erkennung kann ThreatSync+ NDR die kritischen Systeme in Ihrem Netzwerk schnell und leicht identifizieren und kennenlernen. Alle 12 Stunden erstellt ThreatSync+ NDR ein Inventar Ihres Netzwerks und beobachtet den Anwendungsdatenverkehr auf jeder IP-Adresse. Es identifiziert automatisch Subnetze und Ihre wichtigen Server und Netzwerkgeräte und zeigt diese auf der Seite Erkennen. Es gibt auch Empfehlungen, die es Ihnen ermöglichen, neue Assets so zu konfigurieren und bestehende Assets so zu aktualisieren, dass sie die Aktivität in Ihrem Netzwerk besser widerspiegeln.

Wenn Sie ThreatSync+ NDR erstmalig einrichten, kann es zwei bis drei Tage dauern, bis Assets auf der Seite Erkennen angezeigt werden. Sie können auch kritische Assets von Ihren Asset Management-Systemen importieren. Informationen zum manuellen Hinzufügen und Importieren von Geräten finden Sie unter Geräte verwalten.

Screenshot of the Discover page with Devices tab selected by default

Empfohlene Assets auf der Seite Erkennen verwalten

Auf der Seite Erkennen können Sie erkannte Geräte und Subnetze akzeptieren, um sie als ein wichtiges Asset im Netzwerk zu identifizieren. Wenn Sie ein Asset ignorieren, wird es in der Liste ausgeblendet, aber ThreatSync+ NDR überwacht den Netzwerk-Datenverkehr für das Gerät weiter.

Rote Kreise zeigen die Gesamtzahl der erkannten Assets — Geräte und Subnetze — die akzeptiert oder ignoriert werden müssen. Wenn Sie erkannte Assets akzeptieren oder ignorieren, verringert sich die Zahl im roten Kreis.

Wir empfehlen Ihnen, erkannte Assets zu akzeptieren. Je mehr ThreatSync+ NDR über kritische Assets in Ihrem Netzwerk weiß, desto effektiver kann ThreatSync+ NDR Sie über wichtige Bedrohungen informieren.

So akzeptieren oder ignorieren Sie alle Assets in der Tabelle von WatchGuard Cloud aus:

  1. Wählen Sie Überwachen > ThreatSync+.
  2. Wählen Sie Erkennen.
  3. Klicken Sie auf das Kontrollkästchen in der Kopfzeile, um alle Zeilen auszuwählen.
  4. Klicken Sie in der oberen, rechten Ecke auf .
  5. Wählen Sie Ausgewählte akzeptieren oder Ausgewählte ignorieren.
    Wenn Sie mehrere Assets akzeptieren, vergibt ThreatSync+ NDR auf Basis einer der Rollen und der IP-Adresse automatisch einen Standardnamen für das Asset.

Einzelne Geräte akzeptieren und konfigurieren

Die Registerkarte Geräte auf der Seite Erkennen zeigt eine Liste der statischen Geräte, die ThreatSync+ NDR im Netzwerk erkannt hat. ThreatSync+ NDR weist erkannten Geräten automatisch Namen, Rollen und Wichtigkeit zu. Wenn Sie ein erkanntes Gerät akzeptieren, können Sie den Wert des Geräts bearbeiten.

Screenshot of the Discover page with Devices tab selected by default

In der Spalte Vorschlag empfiehlt ThreatSync+ NDR auch eine Aktion, die für das erkannte Gerät ergriffen werden soll. Mögliche Vorschläge und empfohlene Aktionen sind:

  • Gerät hinzufügen — Akzeptiert das Gerät, um es zu identifizieren und zu kennzeichnen. Es wurde Datenverkehr erkannt, der darauf hinweist, dass das Asset für eine Anwendung dient, die eine oder mehrere der vordefinierten ThreatSync+ NDR-Rollen darstellt.
  • Rolle hinzufügen — Akzeptiert das Gerät und fügt einem bestehenden Asset auf Basis des von ThreatSync+ beobachteten Datenverkehrs eine weitere Rolle hinzu.
  • Rolle entfernen — Akzeptiert das Gerät und entfernt auf Basis des von ThreatSync+ NDR beobachteten Datenverkehrs eine bestehende Rolle von einem bestehenden Asset.

Um Datenverkehrsdetails für die IP-Adresse anzuzeigen, klicken Sie auf die IP-Adresse. Weitere Informationen finden Sie unter ThreatSync+ Datenverkehr untersuchen.

Klicken Sie auf den Gerätenamen, um die Gerätedetails anzuzeigen. Weitere Informationen finden Sie unter Gerätedetails anzeigen.

So akzeptieren oder ignorieren Sie ein erkanntes Gerät in WatchGuard Cloud:

  1. Wählen Sie Überwachen > ThreatSync+.
  2. Wählen Sie Erkennen.
  3. Klicken Sie in der Registerkarte Geräte auf in der Zeile eines erkannten Geräts.

Screenshot of the Accept or Ignore options of a discovered device on the Discover page

  1. Wählen Sie Akzeptieren oder Ignorieren.
    Wenn Sie Ignorieren auswählen, dann wechselt der Status von Neu zu Ignoriert. Wenn Sie Akzeptieren auswählen, dann wird das Dialogfeld Ein Gerät aktualisieren geöffnet. Fahren Sie mit dem nächsten Schritt fort.

Screenshot of the Update a Device dialog box

  1. Geräteinformationen bearbeiten:
    • Name — Geben Sie einen Gerätenamen ein. Der Gerätename wird verwendet, um Informationen über diesen Knoten bei Verstößen, Smart Alerts und Datenverkehr anzuzeigen. Geben Sie anstatt der IP-Adresse einen Namen ein, der leicht zu erkennen ist.
    • Beschreibung — Geben Sie eine Beschreibung des Geräts ein, um beim Identifizieren des Geräts zu unterstützen.
    • Rollen — Wählen Sie die Rolle, die das Gerät im Netzwerk ausübt (z. B. SQL-Datenbankserver). Anhand dieser Rolle lässt sich erkennen, welche Anwendungsdienste dieser Knoten leistet, damit ThreatSync+ Bedrohungen besser identifizieren kann.
    • Tags — Geben Sie Tags ein, um das Gerät in Gruppen zu organisieren. Tags helfen Ihnen, weitere Kennungen mit Ihren Knoten zu verknüpfen, sodass Sie diese gruppieren und Regeln um dynamische Systemgruppen erstellen können.
    • Wichtigkeit — Wählen Sie eine Bewertung aus, um anzugeben, wie wertvoll dieses Gerät für Ihre Organisation ist (von Sehr niedrig bis Sehr hoch). Die Wichtigkeitsstufe sollte die Auswirkung auf Ihre Organisation widerspiegeln, falls dieses Gerät beschädigt wird oder verloren geht. Dieser Wert wird verwendet, um den Risikograd eines Assets in Verbindung mit der erweiterten Bedrohungserkennung von ThreatSync+ zu berechnen.
    • Adressen — Geben Sie IP-Adressen für das Gerät ein. Das Gerät kann mehrere IP-Adressen für verschiedene Netzwerkschnittstellen haben. Klicken Sie auf , um mehrere IP-Adressen hinzuzufügen.
  2. Klicken Sie auf Aktualisieren.
    Der Status wechselt von Neu zu Akzeptiert. ThreatSync+ fügt akzeptierte Geräte zur Liste der verwalteten Geräte hinzu. Weitere Informationen finden Sie unter Geräte verwalten.

Erkannte Subnetze akzeptieren und konfigurieren

Auf der Registerkarte Subnetze können Sie von ThreatSync+ erkannte IP-Adressbereiche und Subnetze überprüfen und akzeptieren. Dies kann Ihnen helfen, wichtige Bereiche in Ihrem internen Netzwerk zu definieren und zu kennzeichnen.

Screenshot of the Subnets tab on the Discover page

In der Spalte Vorschlag empfiehlt ThreatSync+ auch eine Aktion, die für das erkannte Subnetz ergriffen werden soll. Mögliche Vorschläge und empfohlene Aktionen sind:

  • Subnetz hinzufügen — Identifizieren und kennzeichnen Sie ein neues Asset, weil Datenverkehr erkannt wurde, der darauf hinweist, dass das Asset für eine Anwendung dient, die eine oder mehrere vordefinierte ThreatSync+ Rollen darstellt.

So akzeptieren oder ignorieren Sie erkannte Subnetze in WatchGuard Cloud:

  1. Wählen Sie Überwachen > ThreatSync+.
  2. Wählen Sie Erkennen.

Screenshot of the Subnets tab on the Discover page that shows details of the Subnets list

  1. Klicken Sie in der Registerkarte Subnetze auf in der Zeile eines erkannten Subnetzes.
  2. Wählen Sie Akzeptieren oder Ignorieren.
    Wenn Sie Ignorieren auswählen, dann wechselt der Status von Neu zu Ignoriert. Wenn Sie Akzeptieren wählen, dann wird das Dialogfeld Subnetz oder Adressbereich hinzufügen geöffnet. Fahren Sie mit dem nächsten Schritt fort.

Screenshot of the Add a Subnet or Address Range dialog box

  1. Bearbeiten Sie die zugewiesenen Werte.
    • Subnetz und Maske (CIDR) — Wählen Sie diese Option, um das Subnetz und die Maske zu identifizieren.
    • IP-Bereich — Wählen Sie diese Option, um den IP-Adressbereich zu identifizieren.
      • Start-IP — Geben Sie die Start-IP-Adresse des Bereichs ein.
      • End-IP — Geben Sie die End-IP-Adresse des Bereichs ein.
    • Organisation — Geben Sie einen Namen für das Subnetz oder den IP-Adressbereich ein.
    • Gerätetyp — Wählen Sie den Typ des Geräts (z. B. ein Computer, Server oder Gateway).
    • Ausschließen — Aktivieren Sie dieses Kontrollkästchen, um das Subnetz oder den IP-Adressbereich von der Datenverkehrsüberwachung auszuschließen. Weitere Informationen finden Sie unter Subnetze und Organisationen konfigurieren.
    • Organisations-Tags — Geben Sie Tags ein, um das Subnetz in Gruppen zu organisieren. Tags helfen Ihnen, weitere Kennungen mit Ihren Knoten zu verknüpfen, sodass Sie diese gruppieren und Regeln um dynamische Systemgruppen erstellen können.
  2. Klicken Sie auf Speichern.
    Der Status wechselt von Neu zu Akzeptiert.

Bei Bedarf können Sie ein akzeptiertes Subnetz bzw. einen akzeptierten IP-Adressbereich auf der Seite Subnetze und Organisation bearbeiten. Weitere Informationen finden Sie unter Subnetze und Organisationen konfigurieren.

Ein zuvor ignoriertes Asset akzeptieren

Gehen Sie in WatchGuard Cloud zur Anzeige und Akzeptierung von zuvor ignorierten Assets folgenderweise vor:

  1. Wählen Sie Überwachen > ThreatSync+.
  2. Wählen Sie Erkennen.
  3. Aktivieren Sie das Kontrollkästchen Ignorierte Elemente anzeigen in der oberen rechten Ecke.

Screen shot of ignored devices in ThreatSync+ NDR

  1. Aktivieren Sie das Kontrollkästchen für das ignorierte Asset.
  2. Klicken Sie in der oberen, rechten Ecke auf .
  3. Wählen Sie Ausgewählte anzeigen.
    Der Status wechselt zu Neu.
  4. Klicken Sie in der Zeile des Assets, das Sie akzeptieren wollen, auf .

Screen shot of menu item to accept ignored devices in ThreatSync+ NDR

  1. Klicken Sie auf Akzeptieren.

Ähnliche Themen

Subnetze und Organisationen konfigurieren

Schnellstart — ThreatSync+ NDR einrichten