Gilt für: ThreatSync+ NDR
ThreatSync+ NDR beinhaltet Standard-Regeln und -Zonen, die Sie aktivieren und benutzerdefiniert anpassen können.
Wenn Sie eine Standard-Regel aktivieren oder eine Standard-Regel oder -Zone bearbeiten, erstellt ThreatSync+ NDR eine private Kopie für Sie. Von WatchGuard an der Definition einer von Ihnen aktivierten Standard-Regel durchgeführte Updates haben keine Auswirkungen auf Ihre Kopie. Wenn Sie zur Standard-Regeldefinition zurückkehren möchten, dann löschen Sie Ihre Kopie der Regel. Weitere Informationen finden Sie unter Über ThreatSync+ Regeln und Zonen.
Standard-Regeln
ThreatSync+ beinhaltet die folgenden Standard-Regeln:
| Regelname | Kategorie | Von Zone | Zu Zone | Beschreibung |
|---|---|---|---|---|
| Aktivität zu Social Media-Websites | Verbotene Websites | Intern | Social Media-Websites | Erkennt die Kommunikation mit einer verbotenen Social Media-Website. |
| Erkennt internen Datenverkehr von oder zu Facebook | Verbotene Websites | Intern | Facebook-Domänen | Erkennt eine Kommunikation mit Facebook. |
| Active Directory an Extern | Datenschutzverletzung | Active Directory | Extern | Erkennt, wenn Active Directory-Server unangemessen über andere Ports als 53, 80 oder 443 mit der Außenwelt kommunizieren. |
| Kritische Assets von oder zu Facebook | Verbotene Websites | Kritische Assets | Facebook-Domänen | Erkennt, wenn ein kritisches Asset mit Facebook kommuniziert. |
| Aktivität zwischen Entwicklung und Produktion | Kritische Assets | Entwicklung | Produktion | Erkennt, wenn nicht autorisierte Entwicklungssysteme mit Produktionssystemen kommunizieren. |
| Aktivität an blockierte Länder | Verbotene Länder | Intern | Verbotene Länder | Erkennt Datenverkehr an Länder in der Zone Verbotene Länder. |
| Ungewöhnliche Aktivität von oder zu blockierten Ländern | Verbotene Länder | Intern | Verbotene Länder | Erkennt, wenn ungewöhnliche Ereignisse mit Ländern in der Zone Verbotene Länder kommunizieren. |
| Interner Telnet-Datenverkehr an kritische Assets | Kritische Assets | Intern | Kritische Assets | Erkennt, wenn unverschlüsselter Telnet-Datenverkehr an Ihre kritischen Systeme erfasst wird. |
| Hohes Volumen an Datentauschbörsen erkennen | Verbotene Websites | Intern | Datentauschbörsen | Erkennen Sie, wenn über 40 k Bytes an eine öffentliche Datentauschbörse gesendet werden. |
|
Exfiltration über gemeinsame Ports blockieren |
Kritische Assets | Extern | MITRE ATT&CK-Test | Erkennt, wenn ein kritisches Asset extern über gemeinsame Ports kommuniziert, die durch eine Regel blockiert sein sollten. |
|
Exfiltration über Dienstebenen-Ports entfernen blockieren |
Kritische Assets | Extern | MITRE ATT&CK-Test | Erkennt, wenn ein kritisches Asset extern über Anwendungsdienst-Ports kommuniziert, die durch eine Regel blockiert sein sollten. |
|
Unerwarteter Datenverkehr Extern-zu-Extern |
Extern | Extern | Nicht autorisierter Datenverkehr | Erkennt, wenn öffentlicher Datenverkehr im internen Netzwerk gesehen wird. |
|
RDP von Extern an Intern |
Extern | Intern | Sicherer Perimeter | Erkennt, wenn es eingehende Remote Desktop Protocol(RDP)-Verbindungen von einer externen IP-Adresse gibt. |
|
Neue RDP von Extern an Intern |
Intern | Extern | Sicherer Perimeter | Erkennen Sie, wenn es neue eingehende RDP-Verbindungen von einer externen IP-Adresse gibt. Diese Regel wird nur ausgelöst, wenn eine eingehende RDP-Verbindung von einem neu erkannten externen System erkannt wird. Verwenden Sie diese Regel anstatt der bestehenden RDP von Extern an Intern, wenn Sie regelmäßig eingehende RDP-Verbindungen von einem vertrauenswürdigen externen Standort haben. |
|
Ungewöhnliche Veränderung der Konversationsaktivität |
Alle internen IP-Adressen | Alle externen Domänen | Ungewöhnliche Aktivität | Im Profil der Konversationsaktivität wurde eine ungewöhnliche Veränderung erkannt, wie durch das durchschnittliche Verhältnis des eingehenden zum ausgehenden Datenverkehr angezeigt. Dies könnte darauf hinweisen, dass ein System entweder absichtlich oder bösartig für einen anderen Zweck genutzt wird. |
|
Verbindung zu neuer Domäne von kritischem Asset |
Kritisches Asset | Alle externen Domänen | Neue Verbindung | Ein kritisches Asset in Ihrem Netzwerk hat erstmalig eine Verbindung zu einer Domäne hergestellt. Es könnte für ein kritisches Asset ungewöhnlich sein, mit einer externen Domäne zu interagieren, mit der es noch nie zuvor kommuniziert hat. |
|
Ungewöhnliche Dauer ausgehender Verbindung |
Alle internen IP-Adressen | Alle externen IP-Adressen | Nicht autorisierter Datenverkehr | In Ihrem Netzwerk wurde eine ausgehende Verbindung mit ungewöhnlich langer Dauer erkannt. Lange dauernde Verbindungen können auf nicht autorisierte automatisierte Aktivität hinweisen, die eine Bedrohung darstellen könnte. |
|
Eingehender Webserver-Datenverkehr aus dem Internet |
Alle externen Domänen | Alle internen IP-Adressen | Nicht autorisierter Datenverkehr | Auf Ports, die gewöhnlich von Webservern verwendet werden, wurden eingehende Verbindungen erkannt. Es ist ungewöhnlich, dass ein Webserver in den konfigurierten internen Organisationen und Subnetzen betrieben wird. |
|
Ungewöhnliche Änderung im Datenverkehrsmix |
Alle internen IP-Adressen | Alle externen Domänen | Ungewöhnliche Aktivität | Im Profil der Datenverkehrsaktivität wurde eine ungewöhnliche Veränderung erkannt, wie durch die durchschnittliche Paketgröße des Datenverkehrs in eine Richtung gezeigt wird. Dies könnte darauf hinweisen, dass ein System entweder absichtlich oder bösartig für einen anderen Zweck genutzt wird. |
|
Nicht autorisierte ausgehende SSH |
Alle internen IP-Adressen | Alle externen Domänen | Nicht autorisierter Datenverkehr | Es wurde eine nicht autorisierte SSH-Verbindung von einem internen Gerät zu einer externen Domäne erkannt. |
|
Ungewöhnliche Verbindungszahl von Intern an Extern |
Alle internen IP-Adressen | Alle internen IP-Adressen | Nicht autorisierter Datenverkehr | Die Verbindungszahl von einer internen IP-Adresse zu einer externen Domäne weicht erheblich von der gewöhnlichen Aktivität ab. Dies könnte auf eine nicht autorisierte Aktivität an ein ungewöhnliches Ziel hinweisen. |
| Verbindung von neuer externer Domäne an Intern | Alle externen Domänen | Alle internen IP-Adressen | Neue Verbindung | Eine Remote-Domäne hat erstmalig eine Verbindung zu einem Gerät in Ihrem Netzwerk hergestellt. Es könnte ungewöhnlich sein, dass Verbindungen von externen Domänen initiiert werden, besonders von jenen, die in der Vergangenheit keine Verbindung hatten. |
| Beaconing über Web-API | Alle internen IP-Adressen | Alle externen IP-Adressen | Command-and-Control | Eine mögliche automatisierte Beaconing-Aktivität über einen Drittanbieter-Webservice wurde zwischen einer IP-Adresse in Ihrem Netzwerk und einem Remote-Standort erkannt. Dies könnte auf eine nicht autorisierte Command-and-Control-Aktivität hinweisen. |
| Ungewöhnliche Verbindungszahl von kritischen Assets an Extern | Kritisches Asset | Alle externen Domänen | Nicht autorisierter Datenverkehr | Die Verbindungszahl von einem kritischen Asset an eine externe Domäne weicht erheblich von der gewöhnlichen Aktivität ab. Dies könnte auf eine nicht autorisierte Aktivität an ein ungewöhnliches Ziel hinweisen. |
| Ungewöhnliche Dauer eingehender Verbindung | Alle internen IP-Adressen | Alle externen IP-Adressen | Nicht autorisierter Datenverkehr | Es wurde eine eingehende Verbindung mit ungewöhnlich langer Dauer von einer externen IP-Adresse an ein Gerät in Ihrem Netzwerk erkannt. Lange dauernde Verbindungen können auf nicht autorisierte automatisierte Aktivität hinweisen, die eine Bedrohung darstellen könnte. |
| Ungewöhnlich hohe Aktivität von kritischen Assets an Extern | Kritisches Asset | Alle externen Domänen | Datenschutzverletzung | Ein ungewöhnlich hohes Volumen oder Verteilung der Aktivität von einem kritischen Asset an eine externe Domäne wurde erkannt. |
|
RDP-Versuche von Intern an Intern |
Alle internen IP-Adressen | Alle internen IP-Adressen | Ungewöhnliche Aktivität | Erkennt, wenn versucht wird, fehlgeschlagene RDP-Sitzungen in Ihrem Netzwerk zwischen zwei internen IP-Adressen einzurichten. |
|
RDP-Versuche von Extern an Intern |
Alle externen IP-Adressen | Alle internen IP-Adressen | Ungewöhnliche Aktivität | Erkennt, wenn versucht wird, fehlgeschlagene RDP-Sitzungen in Ihr Netzwerk von einer externen IP-Adresse aus einzurichten. |
| SSH-Versuche von Intern an Intern | Alle internen IP-Adressen | Alle internen IP-Adressen | Ungewöhnliche Aktivität | Erkennt, wenn versucht wird, fehlgeschlagene SSH-Sitzungen in Ihrem Netzwerk zwischen zwei internen IP-Adressen einzurichten. |
| SSH-Versuche von Extern an Intern | Alle externen IP-Adressen | Alle internen IP-Adressen | Ungewöhnliche Aktivität | Erkennt, wenn versucht wird, fehlgeschlagene SSH-Sitzungen in Ihr Netzwerk von einer externen IP-Adresse aus einzurichten. |
|
Störung des Security Service |
Alle internen Assets | Alle externen Organisationen | Dienstkontinuität | Ein von einem der internen Knoten verwendeter Sicherheitsdienst wurde unterbrochen. Diese Regel wird durch das Ereignis Erkannte Störung im Status bei der Sicherheitsdienstaktivität ausgelöst. |
Standard-Zonen
Zonen sind entweder als intern oder als extern klassifiziert.
Zu den internen Zonen gehören:
- Alle internen Knoten
- Assets
- Organisationen
- IP-Adressen
Zu den externen Zonen gehören:
- Alle externen Knoten
- Länder
- Orte
- Organisationen
- Domänen
- IP-Adressen
ThreatSync+ beinhaltet die folgenden internen Standard-Zonen:
| Name der internen Zone | Zonen-Typ | Details | Beschreibung |
|---|---|---|---|
| Entwicklung | Asset | Tag ist Entwicklung | Alle Assets, denen das Tag Entwicklung zugewiesen ist. |
| Active Directory | Asset | Rolle ist Active Directory | Alle Assets, denen die Rolle ACTIVE_DIRECTORY zugewiesen ist. |
| Alle internen IP-Adressen | Alle | Alle als intern identifizierten Knoten. | |
| Kritische Assets | Asset | Tag ist Kritisches Asset | Alle Assets, denen das Tag Kritisches Asset zugewiesen ist. |
| Produktion | Alle | Alle Assets, denen das Tag Produktion zugewiesen ist. | |
| Alle internen Assets | Asset | Alle Assets, die definiert sind. |
ThreatSync+ beinhaltet die folgenden externen Standard-Zonen:
| Name der externen Zone | Zonen-Typ | Details | Beschreibung |
|---|---|---|---|
| Alle externen Domänen | Alle |
Alle als extern identifizierten Domänen. |
|
| Alle externen IP-Adressen | Alle | Alle als extern identifizierten IP-Adressen. | |
| Datentauschbörsen | Domäne | Eine statische Liste mit Internet-Tauschbörsen | Eine Liste mit Domänennamen. Um erkannt zu werden, muss es sich um gültige Namen im von ThreatSync+ verwendeten IP2Location-Feed handeln. |
| Verbotene Länder | Land | Eine statische Liste mit Ländernamen | Eine Liste mit Ländernamen. Um erkannt zu werden, muss es sich um gültige Namen im von ThreatSync+ verwendeten IP2Location-Feed handeln. |
| Social Media-Websites | Domäne | Eine statische Liste der Domänen von Social Media-Websites | Eine Liste mit Domänennamen. Um erkannt zu werden, muss es sich um gültige Namen im von ThreatSync+ verwendeten IP2Location-Feed handeln. |
| Facebook-Domäne | Domäne | Eine statische Liste mit Facebook gehörenden Domänen | Eine Liste mit Domänennamen. Um erkannt zu werden, muss es sich um gültige Namen im von ThreatSync+ verwendeten IP2Location-Feed handeln. |
| Alle externen Organisationen | Organisation | Alle Namen externer Organisationen. |