Von ThreatSync blockierte Elemente verwalten

Gilt für: ThreatSync

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm ThreatSync Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Auf der Seite Von ThreatSync blockierte Elemente wird eine Liste aller IP-Adressen angezeigt, die durch ThreatSync-Aktionen auf infrage kommenden Fireboxen blockiert sind. Außerdem werden alle MAC-Adressen der blockierten Access Points angezeigt.

Von der Firebox selbst blockierte IP-Adressen werden auf der Seite Von ThreatSync blockierte Elemente nicht angezeigt. Ob ein Vorfall von der Firebox blockiert wurde, können Sie in Automatische Reaktion der Firebox im Abschnitt mit den Bedrohungsdetails für den jeweiligen Vorfall überprüfen. Weitere Informationen finden Sie unter Vorfallsdetails prüfen.

Von ThreatSync blockierte IP-Adressen werden in Fireware oder WatchGuard Cloud nicht in der Liste mit den von der Firebox blockierten Seiten aufgeführt.

Von Fireboxen blockierte IP-Adressen

Die Seite Von ThreatSync blockierte Elemente zeigt folgende Details auf der Registerkarte Firebox:

Screenshot of the Blocked Items by ThreatSync page (Firebox tab) in WatchGuard Cloud

  • Blockierte IP-Adresse — Die durch eine manuelle Aktion oder eine Automatisierungsregel blockierte IP-Adresse.
  • Blockiert durch — Der Name des Benutzers oder der Automatisierungsregel, der/die die IP-Adresse blockiert hat.
  • Zeitstempel — Datum und Uhrzeit der Blockierung der IP-Adresse.

In ThreatSync+ NDR blockierte IP-Adressen werden auf der Registerkarte Firebox auf der Seite Von ThreatSync blockierte Elemente angezeigt. Weitere Informationen finden Sie unter Alle IP-Adressen.

Falls ThreatSync kritische IP-Adressen blockiert, können Sie diese IP-Adressen zur Liste Blockierte-Seiten-Ausnahme auf Ihrer Firebox hinzufügen. Wenn Sie eine Adresse zur Liste Blockierte-Seiten-Ausnahme hinzufügen, wird der Datenverkehr von dieser Adresse nicht blockiert. Weitere Informationen finden Sie unter Blockierte Seiten-Ausnahmen erstellen.

Blockierung von IP-Adressen aufheben

Bei der Überprüfung der Details des Sicherheitsvorfalls und der Überwachung von Bedrohungen beschließen Sie eventuell, die Blockierung einer oder mehrerer IP-Adressen aufzuheben, die durch eine ThreatSync-Automatisierungsregel oder eine manuelle Reaktion auf einen Vorfall blockiert wurden.

So heben Sie die Blockierung von IP-Adressen auf, die durch zulässige Fireboxen blockiert wurden:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync > Blockierte Elemente.
    Die Seite Von ThreatSync blockierte Elemente wird geöffnet.
  4. Wählen Sie die Registerkarte Firebox.
  5. Wählen Sie eine oder mehrere blockierte IP-Adressen aus.
  6. Klicken Sie auf Blockierung aufheben.
    Der Datenverkehr von und zu den ausgewählten IP-Adressen wird von den betroffenen Fireboxen nicht länger blockiert.

Blockierte MAC-Adressen von Access Points

Die Seite Von ThreatSync blockierte Elemente zeigt folgende Details auf der Registerkarte Access Point:

Screenshot of the Blocked Items by ThreatSync page (Access Point tab) in WatchGuard Cloud

  • Blockierte MAC-Adresse — Die durch eine manuelle Aktion oder eine Automatisierungsregel blockierte MAC-Adresse.
  • Bedrohungstyp — Der erkannte Bedrohungstyp des Access Points.

Zum Beispiel:

  • Bösartiger Access Point - Rogue-Access Point
  • Bösartiger Access Point - Vermuteter Rogue-Access Point
  • Bösartiger Access Point - Evil Twin
  • Blockiert durch — Der Name des Benutzers oder der Automatisierungsregel, der/die die MAC-Adresse des Access Points blockiert hat.
  • Zeitstempel — Datum und Uhrzeit der Blockierung der MAC-Adresse durch den Access Point.

Blockierung einer Access Point-MAC-Adresse aufheben

Bei der Überprüfung der Details des Sicherheitsvorfalls und der Überwachung von Bedrohungen beschließen Sie eventuell, die Blockierung einer oder mehrerer Access Points aufzuheben, die durch eine ThreatSync-Automatisierungsregel oder eine manuelle Reaktion auf einen Vorfall blockiert wurden.

Caution: Achten Sie darauf, dass Sie den Access Point identifizieren, dessen Blockierung Sie aufheben möchten. Falls es sich hierbei um einen bösartigen Access Point handelt, können sich Ihre WLAN-Clients mit dem Bedrohungsgerät verbinden und gefährdete Daten kommunizieren, nachdem Sie die Blockierung des Geräts aufgehoben haben.

So heben Sie die Blockierung der MAC-Adresse eines Access Points auf der Seite Von ThreatSync blockierte Elemente auf:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync > Blockierte Elemente.
    Die Seite Von ThreatSync blockierte Elemente wird geöffnet.
  4. Wählen Sie die Registerkarte Access Point.
  5. Wählen Sie eine oder mehrere blockierte MAC-Adressen von Access Points aus.
  6. Klicken Sie auf Blockierung aufheben.
    Die Blockierung aller ausgewählten Access Points ist nun aufgehoben.

Liste der blockierten Access Points neu laden

Um die Liste der MAC-Adressen der blockierten Access Points neu zu laden, klicken Sie auf .

Herunterladen der Liste der blockierten Access Points

Um eine Liste der MAC-Adressen der blockierten Access Points im Format Comma-separated Value (CSV) herunterzuladen, klicken Sie auf .

Ähnliche Themen

ThreatSync konfigurieren

ThreatSync-Geräteeinstellungen konfigurieren

Über ThreatSync-Automatisierungsregeln