Gilt für: ThreatSync+ NDR, ThreatSync+ SaaS
ThreatSync+ überwacht Ihr Netzwerk auf Verstöße gegen Ihre Unternehmensregeln. Dabei kann es sich um Standard-Regeln oder um von Ihnen definierte benutzerdefinierte Regeln handeln.
- Standard-Regeln — ThreatSync+ beinhaltet Standard-Regeln, die Sie aktivieren können, um Datenverkehr zu gefährlichen Websites, nicht autorisierten Anwendungen und Ländern, nicht autorisierten Datenverkehr, wie eingehende Remote Desktop Protocol (RDP)-Sitzungen, oder nicht autorisierten Datenverkehr zwischen internen Netzwerken, wie Ihren Entwicklungs- und Produktionsumgebungen, zu erkennen.
- Benutzerdefinierte Regeln — Sie können über 70 Filter anwenden, um benutzerdefinierte Regeln und Zonen zum Überwachen der Datenverkehrsströme und von ThreatSync+ NDR erkannter ungewöhnlicher Ereignisse zu erstellen. Weitere Informationen zu diesen Filtern finden Sie unter: Regelaktivitätsfilter.
Die verfügbaren Seiten und Funktionen variieren und hängen von Ihrem Lizenztyp ab. In dieser Dokumentation bezieht sich ThreatSync+ im Allgemeinen auf alle Produkte. Wenn Sie eine Seite oder Funktion in der ThreatSync+ Benutzeroberfläche nicht sehen, wird sie von Ihrem Produkt nicht unterstützt.
Regel-Warnmeldungen
Regel-Warnmeldungen benachrichtigen Sie über Regelverstöße, verknüpfen die Verstöße mit Ihren wichtigen Assets und heben die häufigsten Übeltäter hervor. ThreatSync+ nimmt NetFlow-Protokolle und Daten aus Ihrem Netzwerk auf und bewertet Ihre Regeln diesbezüglich. Wenn Verstöße auftreten, generiert ThreatSync+ Warnmeldungen.
Weitere Informationen zu Regel-Warnmeldungen finden Sie unter Über Regel-Warnmeldungen.
Regelbewertung
ThreatSync+ NDR führt Regelbewertungen für 30-minütige Gruppen aufgenommener NetFlow-Datenverkehr und -Ereignisse vor. Jede Regel bewertet alle Datenverkehrs- oder Ereignisprotokolle zwischen einer Quellzone und einer Zielzone während des 30-minütigen Zeitraums und generiert eine Warnmeldung, wenn die Bedingungen der Regel erfüllt sind. Diese Bedingungen sind Aktivitätsauslöser.
Mit Aktivitätsauslösern können Sie Daten auf Basis der Protokollinhalte filtern. Beim Filtern des NetFlow-Datenverkehrs können die Regeln Ports, Protokolltypen, Volumen des Datenverkehrs und andere Datenverkehrseigenschaften als Filter nutzen. Beim Filtern nach Ereignissen können die Regeln Ereignistypen, Ports und andere Eigenschaften, die ThreatSync+ NDR beim Erstellen von Ereignissen generiert, als Filter nutzen.
Zonen identifizieren eine Reihe von Quellen und Zielen, die zum Filtern des Datenverkehrs genutzt werden. Bei einer Zone kann es sich um eine Gruppe von IP-Adressen, Assets, Organisationen, Ländern, Domänen oder Orten handeln. Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.
Standard-Regeln und -Zonen
Regeln in ThreatSync+ sind mit Netzwerkzonen verknüpft. ThreatSync+ bietet Standard-Regeln und -Zonen, um Sie bei der Überwachung von Bedrohungen zu unterstützen. Diese Standard-Regeln und -Zonen bieten eine Reihe grundlegender Überwachungstools und Beispiele dafür, wie Sie benutzerdefinierte Regeln und Zonen erstellen.
Die Funktionsweise von Standard-Regeln und benutzerdefinierten Regeln ist ähnlich. Es gibt jedoch Unterschiede, wenn Sie Zonen bearbeiten oder wenn ThreatSync+ NDR die Definition eines Standard-Zonenobjekts aktualisiert.
Regeln
Die meisten Standard-Regeln sind standardmäßig deaktiviert. Eine Untergruppe von Regeln mit dem Tag Ebene 1 ist jedoch standardmäßig aktiviert und generiert automatisch Warnmeldungen. In ThreatSync+ NDR gehören ungefähr 30 von über 75 verfügbaren Standard-Regeln zur Ebene 1. Weitere Informationen finden Sie unter ThreatSync+ NDR Regeln der Ebene 1.
Die neun in ThreatSync+ SaaS verfügbaren Regeln sind Regeln der Ebene 1. Weitere Informationen finden Sie unter Regeln der Ebene 1 für ThreatSync+ SaaS — Microsoft 365.
Wenn Sie eine Regel aktivieren oder Konfigurationsänderungen durchführen, dann wird eine private Kopie gespeichert. Wenn Sie diese Kopie löschen, werden alle Änderungen, die Sie in der Regeldefinition vorgenommen haben, verworfen und die Regel wird auf die Standard-Regeldefinition zurückgesetzt. Wenn Sie eine Standard-Regel bearbeiten, sind eventuelle Updates der Definition der Standard-Regel nicht sichtbar, bis Sie Ihre bearbeitete Version löschen und die Regel auf die Standard-Regeldefinition zurückgesetzt wird.
Zonen
Eine Standard-Zone beinhaltet eine Liste von Objekten. Wenn Sie eine Standard-Zone bearbeiten, wird eine private Kopie mit Ihren Änderungen gespeichert. Alle Regeln, die diese Zone nutzen, werden Ihre private Kopie verwenden. Wenn Sie die Kopie löschen, dann werden die an der Zonendefinition durchgeführten Änderungen verworfen, die Zone wird auf die Standard-Definition zurückgesetzt und alle Regeln, die Ihre Kopie verwendet haben, nutzen jetzt die Standard-Zone.
Wenn Sie eine Standard-Zone bearbeiten, dann gelten alle Updates, die WatchGuard an der Definition der Standard-Zone durchführt, nicht für Ihr Konto, bis Sie Ihre bearbeitete Kopie löschen und die Zone auf die Standard-Zonendefinition zurückgesetzt wird. Wenn Sie eine Standard-Zone nicht bearbeiten, dann gelten alle Upgrades, die die Zonendefinition ändern, automatisch für Ihr Konto.
Beispiel
Die Standard-Zone Datentauschbörsen beinhaltet eine Liste von Dateitauschdiensten im Internet. WatchGuard pflegt diese Liste von Websites und aktualisiert sie regelmäßig.
- Wenn Sie diese Standard-Zone nicht bearbeiten, dann werden alle neuen Websites, die WatchGuard zur Zonendefinition hinzufügt, automatisch in die Bewertung von Regelverstößen einbezogen.
- Wenn Sie diese Standard-Zone bearbeiten, dann wird eine private Kopie erstellt und die Liste der Datentauschbörsen in Ihrer Kopie beinhaltet von WatchGuard durchgeführte Updates nicht automatisch. Um von WatchGuard hinzugefügte neue Websites einzubeziehen, müssen Sie Ihre private Kopie der Zone löschen, sodass die Zone auf die Standard-Zone zurückgesetzt wird, und diese dann erneut bearbeiten, um zuvor durchgeführte Änderungen widerzuspiegeln.
Benutzerdefinierte Regeln und Zonen
Sie können in ThreatSync+ benutzerdefinierte Regeln und Zonen erstellen, die einzigartig für Ihre Organisation sind.
Zonen können einschließend oder ausschließend sein. Einschließende Zonen können statische Listen mit IP-Adressen, Assets, Organisationen, Ländern, Domänen oder Orten beinhalten. Ausschließende Zonen beziehen alle Geräte in Ihren Netzwerk ein, außer jenen, die Sie in der Zonendefinition explizit aufführen. Wenn Sie eine Zone definiert haben, können Sie sie in mehreren Regeln verwenden.
Zonen, die aus Ländern, Organisationen, Domänen oder Orten bestehen, müssen denen in der von ThreatSync+ verwendeten Metadatenliste entsprechen. WatchGuard aktualisiert diese Listen regelmäßig anhand von Drittanbieterdiensten. Achten Sie bei der Verwendung dieser Zonen in Ihren benutzerdefinierten Zonen darauf, dass die Namen denen im NetFlow-Datenverkehr- und Knoten-Detail in ThreatSync+ NDR entsprechen.
Um eine benutzerdefinierte Regel zu definieren, konfigurieren Sie eine Quellzone, eine Zielzone und einen Aktivitätsfilter. Mit dem Aktivitätsfilter können Sie Datenverkehr oder Ereignisprotokolle zwischen den ausgewählten Zonen bewerten und eine Warnmeldung auslösen, wenn die Aktivität dem Aktivitätsfilter entspricht.
Beim Filtern von Datenverkehr können Aktivitätsfilter Folgendem entsprechen:
- Ports in den Datenverkehrsströmen.
- Konversationsklasse — Eine Kombination aus dem Protokolltyp (TCP, UDP oder ICMP) und dem Typ der Konversation (z. B. zweiseitig, nicht reagierender Scan oder fehlgeformt).
- Datenvolumen in den Datenverkehrsströmen.
Beim Filtern von Ereignissen können Aktivitätsfilter Folgendem entsprechen:
- Anomalietyp, den das Ereignis darstellt.
- Ports in den Ereignisprotokollen.
- Konversationsklasse — Eine Kombination aus dem Protokolltyp (TCP, UDP oder ICMP) und dem Typ der Konversation (z. B. zweiseitig, nicht reagierender Scan oder fehlgeformt).