ThreatSync+ NDR-Kollektoren konfigurieren (Windows-Computer)

Gilt für: ThreatSync+ NDR

ThreatSync+ NDR-Kollektor-Agent für Windows empfängt Protokolldaten von Switches und Routern in Ihrem Netzwerk und sendet die Daten an WatchGuard Cloud.

ThreatSync+ NDR-Kollektor-Agent ermittelt:

  • Port 2055 für NetFlow-Protokolldaten von Endpoints.
  • Port 6343 für sFlow-Protokolldaten von Endpoints.
  • Port 514 für DHCP-Protokolldaten von Windows Log Agent.

Sie können ThreatSync+ NDR-Kollektor-Agent auf Windows-Computern installieren, die mit Windows 10, Windows 11 oder Windows Server 2022 laufen.

Detaillierte Informationen über unterstützte Betriebssysteme und Virtualisierungsumgebungen finden Sie im Abschnitt Systemanforderungen.

WatchGuard Agent für Windows herunterladen und installieren

Die Installation von WatchGuard Agent für Windows und ThreatSync+ NDR-Kollektor-Agent ist ein zweistufiger Prozess.

Um einen Kollektor hinzuzufügen und zu konfigurieren, müssen Sie zuerst das WatchGuard Agent-Installationsprogramm für Windows herunterladen und dann den Installation-Wizard auf dem Windows-Computer oder -Server ausführen, den Sie als Kollektor konfigurieren möchten. Wenn Sie WatchGuard Agent installiert haben, installiert dieser ThreatSync+ NDR-Kollektor-Agent oder Windows Log Agent. Verwenden Sie die ThreatSync-Verwaltungsoberfläche, um anzugeben, welche Windows-Computer oder -Server als Kollektoren verwendet werden sollen.

Caution: Sie können ThreatSync+ NDR-Kollektor-Agent nicht auf Endpoints installieren, auf denen ein Panda- oder Cytomic-Endpoint Security-Produkt installiert ist. ThreatSync+ NDR-Kollektor-Agent ist nur mit WatchGuard Endpoint Security-Produkten kompatibel.

Bevor Sie beginnen

Bevor Sie WatchGuard Agent für Windows herunterladen, müssen Sie Folgendes gewährleisten:

  • Auf dem Computer, auf dem Agent installiert werden soll, ist eine Virenschutz-Software installiert.
  • Sie haben Administrator-Berechtigungen und sind an dem Windows-Computer angemeldet, auf dem Sie WatchGuard Agent installieren wollen.

Systemanforderungen

Stellen Sie sicher, dass Virtualisierung im BIOS aktiviert und dass Virtualization-Based Security (VBS) für virtuelle Umgebungshosts aktiviert ist.

Weitere Informationen finden Sie unter:

Falls Sie den Kollektor auf Hyper-V betreiben, muss die geschachtelte Virtualisierung aktiviert sein. Weitere Informationen finden Sie unter Geschachtelte Virtualisierung und Hyper-V auf einer virtuellen Maschine mit geschachtelter Virtualisierung ausführen.

Wir empfehlen Ihnen, den Kollektor auf einem speziellen physischen Gerät anstatt auf einem virtuellen Gerät zu betreiben, um die geschachtelte Virtualisierung zu vermeiden.

ThreatSync+ NDR-Kollektor-Agent für Windows muss die folgenden Bedingungen erfüllen:

  • Installation von Windows 10, Windows 11 oder Windows 2022 mit:
    • Minimum an CPU-Cores: 2
    • Mindestens 8 GB RAM und 150 GB Speicherplatz

Für Netzwerke mit einer NetFlow-Rate über 500.000 pro Minute sind mehr CPUs, RAM und Festplattenspeicher erforderlich.

Das Windows-Installationsprogramm ist mit Computern mit einem x86 oder ARM Prozessor kompatibel.

Weitere Informationen über unterstützte Betriebssysteme und Virtualisierungsumgebungen finden Sie im Abschnitt Fehlersuche in ThreatSync+ NDR-Kollektor-Agent für Windows dieses Dokuments oder unter Betriebssystem-Kompatibilität für ThreatSync+ NDR-Komponenten in den ThreatSync+ NDR-Versionshinweisen.

WatchGuard Agent für Windows installieren

Installieren Sie WatchGuard Agent auf allen Windows-Computern, die Sie als Kollektoren konfigurieren möchten. Normalerweise müssen Sie ThreatSync+ NDR-Kollektor-Agent für jeden physischen Standort in Ihrem Netzwerk auf nur einem Computer installieren.

Wir empfehlen Ihnen, den Agent auf einem speziellen Computer mit einem unverwechselbaren Administrator-Konto zu installieren, damit der Administrator stets angemeldet bleiben kann. Wenn das Administrator-Konto mit der Agent-Installation nicht angemeldet ist, wird der Kollektor nicht aufgeführt.

So installieren Sie WatchGuard Agent für Windows:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > Kollektoren.
  4. Wählen Sie auf der Registerkarte ThreatSync+ NDR-Kollektor-Agenten die Option Kollektor hinzufügen.
  5. Klicken Sie im Abschnitt WatchGuard Agent herunterladen und installieren auf WatchGuard Agent herunterladen.
    Das Dialogfeld WatchGuard Agent-Installationsprogramm herunterladen wird geöffnet.
  6. Wählen Sie im Dialogfeld WatchGuard Agent-Installationsprogramm herunterladen die Option Windows.

Screenshot of the Add ThreatSync+ NDR Collection Agent page that shows the Windows installer option

  1. (Optional) Klicken Sie auf Download-URL kopieren, um die Download-URL zu speichern.
  2. Klicken Sie auf Herunterladen.
    Die Datei Windows WatchGuard_Agent.msi wird heruntergeladen.
  3. Kopieren Sie die .MSI-Datei auf den Windows-Computer oder -Server, von dem Sie Protokolle erhalten möchten.
  4. Doppelklicken Sie auf die Datei WatchGuard_Agent.msi und führen Sie die Schritte im Wizard durch.
    Während des Installationsprozesses sehen Sie eine Fortschrittsanzeige. Während der Installation öffnet der Agent ein Ubuntu-Konsolenfenster. Sie sollten dieses Fenster nicht schließen. Der Windows-Computer bzw. -Server führt einen Neustart durch, um die Installation fertigzustellen.

Um zu überprüfen, ob WatchGuard Agent erfolgreich installiert wurde, stellen Sie sicher, dass auf der Registerkarte ThreatSync+ NDR-Kollektor-Agenten der Status Erfolg angezeigt wird. Der Windows-Kollektor zeigt den Echtzeitstatus, der ungefähr alle fünf Minuten aktualisiert wird.

Informationen zum Deinstallieren von WatchGuard Agent oder ThreatSync+ NDR-Kollektor-Agent finden Sie unter ThreatSync+ NDR-Kollektor-Agent für Windows löschen.

ThreatSync+ NDR-Kollektoren konfigurieren

Um Active Directory DHCP-Protokolle zu sammeln, müssen Sie beide Typen von Kollektor-Agenten zu Ihrem Netzwerk hinzufügen und konfigurieren — zunächst ThreatSync+ NDR-Kollektor-Agent, danach Windows Log Agent.

Screenshot of Configure > ThreatSync, ThreatSync+ NDR Collection Agents page

Sie konfigurieren ThreatSync+ NDR-Kollektor-Agenten auf der Seite Kollektoren.

Die Registerkarte ThreatSync+ NDR-Kollektor-Agenten zeigt die folgenden Spalten:

  • Name — Name des Kollektors.
  • IP-Adresse — IP-Adresse des Computers, auf dem der Kollektor installiert ist.
  • Zuletzt aktualisiert — Datum und Uhrzeit der letzten Kollektor-Datenaktualisierung.
  • Letzte Aktivität — Datum und Uhrzeit der letzten Datenübermittlung des Kollektors an ThreatSync+ NDR.
  • NetFlow-Überwachung — Zeigt den Status der NetFlow-Überwachung (ob der Prozess nfcapd ausgeführt wird). Beispielsweise Wird ausgeführt oder Gestoppt.
  • sFlow-Überwachung — Zeigt den Status der sFlow-Überwachung (ob der Prozess sfcapd ausgeführt wird). Beispielsweise Wird ausgeführt oder Gestoppt.
  • Status — Zeigt den Status des Kollektors an. Klicken Sie auf den Status, um weitere Informationen aufzurufen. Mögliche Status sind:
    • Erfolg — Der Kollektor ist installiert und empfängt Netzwerkdaten.
    • Keine Informationen — Der Status des Kollektors konnte nicht gemeldet werden.
    • Offline — Der Kollektor ist offline.
    • Fehler — Beim Kollektor ist ein Fehler aufgetreten. Weitere Informationen finden Sie unter Fehlersuche in ThreatSync+ NDR-Kollektor-Agent für Windows.

ThreatSync+ NDR-Kollektor-Agent für Windows hinzufügen

Normalerweise wird nur ein ThreatSync+ NDR-Kollektor-Agent für jeden physischen Standort in Ihrem Netzwerk benötigt. Um DHCP-Datenprotokolle hinzuzufügen, müssen Sie ThreatSync+ NDR-Kollektor-Agent auf einem Windows-Computer mit statischer IP-Adresse hinzufügen.

So fügen Sie Ihrem Computer ThreatSync+ NDR-Kollektor-Agent hinzu:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > Kollektoren.
  4. Wählen Sie auf der Registerkarte ThreatSync+ NDR-Kollektor-Agenten die Option Kollektor hinzufügen.

Screen shot of Configure > ThreatSync, Add ThreatSync+ NDR Collection Agents dialog box

  1. Wählen Sie in der Dropdown-Liste Host den Windows-Computer, den Sie als ThreatSync+ NDR-Kollektor-Agent verwenden möchten.
    Diese Liste beinhaltet alle Windows-Computer, auf denen WatchGuard Agent installiert ist. Um die Liste der verfügbaren Computer und Server neu zu laden, klicken Sie auf .
  2. Klicken Sie auf Speichern.
    Kollektor-Agent beginnt, Daten an ThreatSync+ NDR zu melden. Sie können die gemeldeten Datenverkehrsinformationen auf der Seite Netzwerkzusammenfassung einsehen.
  3. Klicken Sie auf Ihrem Host-Computer auf OK, wenn das Dialogfeld Berechtigungen erforderlich geöffnet wird.
    Es kann etwas dauern, bis das Dialogfeld Berechtigungen erforderlich auf dem Host-Computer angezeigt wird.

Screenshot of the Permissions Required dialog box that appears on the host computer.

Erfassen Sie die IP-Adresse von ThreatSync+ NDR-Kollektor-Agent. Sie müssen die IP-Adresse eingeben, um Windows Log Agent zu konfigurieren.

Fehlerbenachrichtigungen von ThreatSync+ NDR-Kollektor-Agent stumm schalten

Es ist möglich einen bestehenden ThreatSync+ NDR-Kollektor-Agent zu bearbeiten und Fehlerbenachrichtigungen von einem spezifischen Kollektor-Agent stumm zu schalten. Sie können auch Fehlerbenachrichtigungen einer von Ihnen hinzugefügten und konfigurierten Protokollquelle stumm schalten.

So konfigurieren Sie Fehlerbenachrichtigungen für einen bestehenden ThreatSync+ NDR-Kollektor-Agent:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > Kollektoren.
  4. Klicken Sie auf der Registerkarte ThreatSync+ NDR-Kollektor-Agenten neben dem ThreatSync+ NDR-Kollektor-Agent, den Sie bearbeiten wollen, auf Symbol Optionen. Klicken Sie auf Bearbeiten.
    Die Optionen für Misserfolge stumm schalten werden angezeigt.

  1. Wählen Sie eine der folgenden Optionen:
    • Wiederholte Fehlerbenachrichtigungen stumm schalten — Wählen Sie diese Option, um aufeinanderfolgende Kollektor-Fehlerbenachrichtigungen für diesen Kollektor stumm zu schalten. Wenn diese Option aktiviert ist, wird bei Auftreten eines Kollektorfehlers nur eine Benachrichtigung für diesen Kollektor gesendet.
    • Alle Fehlerbenachrichtigungen stumm schalten — Wählen Sie diese Option, um alle Kollektor-Fehlerbenachrichtigungen für diesen Kollektor stumm zu schalten. Wenn diese Option aktiviert ist, wird bei Auftreten eines Kollektorfehlers keine Benachrichtigung für diesen Kollektor gesendet.
    • Fehlerbenachrichtigungen von diesen Quellen stumm schalten — Wählen Sie diese Option, um spezifische Protokollquellen hinzuzufügen und zu konfigurieren, für die Sie Fehlerbenachrichtigungen stumm schalten möchten. Diese Option schaltet alle Kollektor-Fehlerbenachrichtigungen für Ihre konfigurierte Protokollquelle stumm. Wenn diese Option aktiviert ist, wird bei Auftreten eines Kollektorfehlers keine Benachrichtigung für diese Protokollquelle gesendet. Um eine Protokollquelle hinzuzufügen, gehen Sie zu Schritt 6.
  2. Klicken Sie auf Fehlerbenachrichtigungen von diesen Quellen stumm schalten, um eine Protokollquelle hinzuzufügen und zu konfigurieren, für die Sie Benachrichtigungen stumm schalten möchten.
    1. Klicken Sie auf Quelle und Typ hinzufügen.
      Das Dialogfeld Quelle und Typ hinzufügen wird geöffnet.

    1. Geben Sie in das Textfeld Quelle die Quell-IP-Adresse ein.
    2. Wählen Sie aus der Dropdown-Liste Typ entweder NetFlow/sFlow oder DHCP als Typ der Quelle.
    3. Klicken Sie auf Hinzufügen.
    4. Klicken Sie auf Speichern.
      Die neue Quelle wird hinzugefügt.

Screenshot of the added sources to mute failure notifications

    1. Zum Löschen einer Quelle klicken Sie auf Das Löschen-Symbol. Klicken Sie auf Speichern.

ThreatSync+ NDR-Kollektor-Agent für Windows löschen

Soll ein spezifischer ThreatSync+ NDR-Kollektor-Agent nicht mehr länger verwendet werden, können Sie ihn aus der ThreatSync+ Integrationen-Benutzeroberfläche löschen. Wird Kollektor-Agent aus der Benutzeroberfläche gelöscht, wird Kollektor-Agent automatisch von WatchGuard Agent deinstalliert.

So löschen Sie ThreatSync+ NDR-Kollektor-Agent:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > Kollektoren.
  4. Wählen Sie auf der Registerkarte ThreatSync+ NDR-Kollektor-Agenten einen oder mehrere Kollektoren, die Sie löschen möchten.

Screenshot of the Collectors page, ThreatSync+ NDR Collections Agents tab that shows the Delete option when you select a collector to be deleted

  1. Klicken Sie auf Löschen.
    ThreatSync+ NDR-Kollektor-Agent wird von WatchGuard Agent deinstalliert.

Um WatchGuard Agent gemeinsam mit ThreatSync+ NDR-Kollektor-Agent zu deinstallieren, müssen Sie ihn zunächst vom Computer oder Server deinstallieren, auf dem Sie ihn installiert haben. Weitere Informationen finden Sie in der Produktdokumentation für Ihren Computer oder Server.

Windows Log Agent installieren

Windows Log Agent ist ein Kollektor-Agent, der Windows DHCP-Serverprotokolle liest und sie dann an ThreatSync+ NDR-Kollektor-Agent weiterleitet. ThreatSync+ NDR-Kollektor-Agent leitet die DHCP-Protokolle seinerseits an WatchGuard Cloud weiter.

Damit ThreatSync+ NDR-Kollektor-Agent für Windows DHCP-Serverprotokolle erhält, müssen Sie Windows Log Agent in Ihrem Netzwerk installieren und konfigurieren. Sie können Windows Log Agent auf Windows Server 2019 oder 2022 installieren. Einige dieser Server könnten auch Domänen-Controller sein. Weitere Informationen finden Sie unter Windows Log Agent konfigurieren.

Um die Übersicht über Geräte zu behalten, wenn diese ihre IP-Adresse ändern, empfehlen wir Ihnen, Windows Log Agent zu verwenden, um Active Directory DHCP-Protokolle zu sammeln. Fügen Sie Windows Log Agent auf allen DHCP-Servern hinzu und konfigurieren Sie ihn.

Fehlersuche in ThreatSync+ NDR-Kollektor-Agent für Windows

Wenn Sie auf der Seite Netzwerkzusammenfassung innerhalb von 60 bis 90 Minuten keine gemeldeten Datenverkehrsinformationen sehen, können Sie die Informationen in diesem Abschnitt für die Fehlersuche bei Kollektor-Problemen verwenden.

So suchen Sie Fehler in ThreatSync+ NDR-Kollektor-Agent für Windows:

  • Stellen Sie sicher, dass der Windows-Computer die Anforderungen erfüllt, wie in Abschnitt Systemanforderungen .
  • Stellen Sie sicher, dass das Administratorkonto, das WatchGuard Agent installiert hat, am Windows-Computer angemeldet ist, auf dem ThreatSync+ NDR-Kollektor-Agent installiert ist. Wir empfehlen Ihnen, ein spezielles Administrator-Konto für die Installation zu erstellen. Der Installationsadministrator muss stets angemeldet sein.
  • Während des Installationsprozesses öffnet WatchGuard Agent ein Ubuntu-Konsolenfenster. Schließen Sie dieses Fenster nicht. Verwenden Sie den PowerShell-Befehl wsl -l, um zu überprüfen, ob WatchGuard Agent erfolgreich installiert wurde.
  • Verwenden Sie den PowerShell-Befehl netstat -l, um zu überprüfen, ob der Computer die folgenden Ports ermitteln kann:
    • Port 2055 — NetFlow-Protokolldaten von Endpoints
    • Port 6343 — sFlow-Protokolldaten von Endpoints
    • Port 514 — DHCP-Protokolldaten von Windows Log Agent
  • Stellen Sie sicher, dass es keine Firewall-Richtlinie gibt, die Datenverkehr von den folgenden Ports blockiert: 2055, 6343 and 514. Bei einer Cloud-verwalteten Firebox entfernen Sie den blockierten Port 514 auf der Seite Konfigurieren > Geräte > Gerätekonfiguration > Netzwerk-Blockierung in WatchGuard Cloud. Informationen dazu, wie Sie einen blockierten Port für lokal verwaltete Fireboxen entfernen, finden Sie unter Ports blockieren in der Fireware-Hilfe.
  • Stellen Sie sicher, dass Virtualisierung im BIOS aktiviert ist. Diese Virtualisierungsumgebungen sind verifiziert:
ThreatSync+ NDR Kollektor-Virtualisierungsumgebung Microsoft Windows 10 Microsoft Windows 11 Microsoft Windows Server 2022
Hyper-V Häkchen-Symbol Häkchen-Symbol
VMware ESXi 6.7 Häkchen-Symbol Häkchen-Symbol
VMware ESXi 7.0.3 Häkchen-Symbol Häkchen-Symbol Häkchen-Symbol*
VMware ESXi 8.0 Häkchen-Symbol Häkchen-Symbol Häkchen-Symbol
KVM Hypervisor QEMU 9.0.0 Häkchen-Symbol Häkchen-Symbol

*Windows Server 2022, build 20.348.2527

  • Überprüfen Sie auf der Seite Konfigurieren > ThreatSync+ Integrationen > Kollektoren die Spalte Status in der Tabelle Kollektoren. Klicken Sie für weitere Informationen auf den Status:
    • Erfolg — Der Kollektor ist installiert und empfängt Netzwerkdaten.
    • Keine Informationen — Der Status des Kollektors konnte nicht gemeldet werden.
    • Offline — Der Kollektor ist offline.
    • Fehler — Beim Kollektor ist ein Fehler aufgetreten.

Wenn der allgemeine Fehler 1603 auftritt, überprüfen Sie, dass die Virtualisierung aktiviert ist. Weitere Informationen finden Sie unter Systemanforderungen.

Für die Fehlersuche in Windows Log Agent gehen Sie zu Fehlersuche in Windows Log Agent.

Ähnliche Themen

ThreatSync+ NDR-Kollektoren konfigurieren (Linux-Computer)

Über ThreatSync+ NDR-Kollektoren

Schnellstart — ThreatSync+ NDR einrichten