Gilt für: ThreatSync+ SaaS
Mit ThreatSync+ SaaS können Sie Benutzeraktivität von Drittanbieter-Software wie Software as a Service (SaaS) und Cloud-Umgebungen, wie Microsoft 365, überwachen.
ThreatSync+ SaaS verwendet Kollektoren, um Benutzeraktivitätsprotokolle von Microsoft 365 zu sammeln, die es ThreatSync+ SaaS ermöglichen, abnormale Benutzeraktivität und Anmeldungen von autorisierten und nicht autorisierten Microsoft 365-Benutzern zu überwachen, darauf zu reagieren und diese zu melden.
Die ThreatSync+ SaaS für Microsoft 365-Bedrohungserkennung beinhaltet:
- Verteidigungskontrollen in drei Hauptkategorien:
- Exfiltration durch einen internen Akteur
- Verdächtiges Zugriffsverhalten
- Verdächtige Anmeldeaktivität
- Microsoft 365-Verteidigungszielbericht
- Microsoft 365 Überwachung der Benutzeraktivität
- Microsoft 365 Benutzerproblembehebung
Weitere Informationen zu ThreatSync+ SaaS finden Sie in folgenden Abschnitten:
- Lizenzierung
- Berichte
- ThreatSync+ SaaS-Integrationen hinzufügen
- ThreatSync+ Benutzeroberfläche
- Aktionen für Benutzer durchführen
Lizenzierung
Um ThreatSync+ SaaS zu nutzen, müssen Sie eine ThreatSync+ SaaS-Lizenz erwerben und aktivieren. ThreatSync+ SaaS ist für jeden Benutzer einzeln lizenziert.
Weitere Informationen zur Lizenzierung finden Sie unter Über ThreatSync+ SaaS-Lizenzen.
Um einen Einblick in alle Bereiche Ihres Netzwerks zu erhalten, empfehlen wir Ihnen dringend, eine ThreatSync+ NDR-Lizenz zu aktivieren.
Berichte
Berichte sind ein entscheidender Teil der Überwachung Ihrer Organisation auf Bedrohungen. ThreatSync+ SaaS for Microsoft 365 bietet den Microsoft 365-Verteidigungszielbericht, der Ihnen hilft, Ihre Benutzeraktivität, verdächtige Anmeldungen und verdächtige Dateifreigabeaktivitäten für Ihre Microsoft 365-Benutzer zu überwachen.
Weitere Informationen finden Sie unter ThreatSync+ SaaS-Berichte.
Um die standardmäßigen ThreatSync+ NDR-Berichte, zusätzliche Verteidigungskontrollberichte sowie die Fähigkeit, benutzerdefinierte Berichte zu generieren, hinzuzufügen, empfehlen wir Ihnen, eine ThreatSync+ NDR-Lizenz und eine WatchGuard Compliance Reporting-Lizenz hinzuzufügen. Weitere Informationen finden Sie unter ThreatSync+ NDR-Berichte und Über WatchGuard Compliance Reporting.
ThreatSync+ SaaS-Integrationen hinzufügen
Um eine SaaS-Integration hinzuzufügen, verwenden Sie die ThreatSync+ Integrationen-Benutzeroberfläche in WatchGuard Cloud. Wählen Sie Konfigurieren >ThreatSync+ Integrationen, um eine ThreatSync+ SaaS-Integration hinzuzufügen.
Weitere Informationen finden Sie unter ThreatSync+ SaaS Integrationen konfigurieren — Microsoft 365.
ThreatSync+ Benutzeroberfläche
Über die ThreatSync+ Benutzeroberfläche in WatchGuard Cloud können Sie ThreatSync+ SaaS konfigurieren und überwachen. Um eine Verbindung zu WatchGuard Cloud herzustellen, gehen Sie zu cloud.watchguard.com.
Die verfügbaren Seiten und Funktionen variieren und hängen von Ihrem Lizenztyp ab. In dieser Dokumentation bezieht sich ThreatSync+ im Allgemeinen auf alle Produkte. Wenn Sie eine Seite oder Funktion in der ThreatSync+ Benutzeroberfläche nicht sehen, wird sie von Ihrem Produkt nicht unterstützt.
ThreatSync+ SaaS überwachen
Verwenden Sie für die Überwachung Ihrer ThreatSync+ SaaS-Integration die folgenden Seiten:
- Netzwerkzusammenfassung — Bietet eine Übersicht der Trends in Ihrem Netzwerk und beinhaltet Links zu detaillierten Informationen über Regel-Warnmeldungen und Benutzeraktivität. Weitere Informationen finden Sie unter Über die ThreatSync+ Zusammenfassungsseite.
- Regel-Warnmeldungen — Zeigt Warnmeldungen für Regelverstöße in Ihrem Netzwerk. Weitere Informationen finden Sie unter Über Regel-Warnmeldungen.
-
Benutzer — Zeigt Details über Benutzeraktivität, Bedrohungserkennung und Benutzerproblembehebung in Microsoft 365. Diese Seite ist mit einer ThreatSync+ SaaS-Lizenz verfügbar. Weitere Informationen finden Sie unter Über ThreatSync+ SaaS-Lizenzen und ThreatSync+ Benutzer.
- ThreatSync+ Auditprotokolle — Zeigt Details der für ThreatSync+ SaaS-Regeln, Zonen, Benutzer, IP-Adressen und SaaS-Kollektoränderungen durchgeführten Konfigurationsaktivität. Weitere Informationen finden Sie unter ThreatSync+ Auditprotokolle.
ThreatSync+ SaaS konfigurieren
Zum Konfigurieren von ThreatSync+ SaaS wählen Sie Konfigurieren > ThreatSync+.
Sie können die folgenden Seiten für das Konfigurieren von ThreatSync+ SaaS verwenden:
- Compliance-Berichte — Verwaltung von Zielsetzungen und Zielen der Netzwerkverteidigung für den Microsoft 365-Verteidigungszielbericht. Weitere Informationen finden Sie unter Ziele der Netzwerkverteidigung verwalten.
- Regeln — Verwaltung von Standard-Regeln und Hinzufügen von Regeln mit benutzerdefinierten Regeldefinitionen für Ihr Netzwerk. Weitere Informationen finden Sie unter ThreatSync+ Regeln konfigurieren und ThreatSync+ SaaS-Regeln.
- Zonen — Verwaltung von Zonen in Ihrem Netzwerk und Erstellen benutzerdefinierter Zonen. Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.
- Warnmeldungen — Angabe, welche SaaS-Kollektor-Warnmeldungen, Problembehebungswarnmeldungen und Regel-Warnmeldungen E-Mail-Benachrichtigungen generieren. Weitere Informationen finden Sie unter ThreatSync+ Warnmeldungs- und Benachrichtigungsrichtlinien konfigurieren.
Aktionen für Benutzer durchführen
ThreatSync+ SaaS für Microsoft 365 umfasst sowohl manuelle als auch automatische Problembehebungsaktionen.
Sie können die folgenden manuellen Aktionen von der ThreatSync+ Benutzeroberfläche aus durchführen:
- Benutzer aktivieren/Benutzer deaktivieren — Aktiviert bzw. deaktiviert einen Benutzer in Microsoft 365. Wenn Sie diese Aktion auswählen, wird der Benutzer in Microsoft 365 aktiviert bzw. deaktiviert. Wenn Sie einen Microsoft 365-Benutzer deaktivieren, kann er sich nicht länger mit seinem Microsoft 365-Konto anmelden.
Weitere Informationen finden Sie unter ThreatSync+ Benutzer.
Um eine automatische Problembehebung mittels ThreatSync+ SaaS-Regeln durchzuführen, gehen Sie zu Benutzerdefinierte ThreatSync+ Regeln hinzufügen — ThreatSync+ SaaS.