ThreatSync-Vorlagen für Automatisierungsregel verwalten (Service-Provider)

Als WatchGuard Service-Provider können Sie Vorlagen für ThreatSync-Automatisierungsregel erstellen, die mehrere Automatisierungsregeln enthalten, und die Vorlage dann den von Ihnen verwalteten Subscriber-Konten oder -Kontogruppen zuweisen.

Mit Vorlagen für Automatisierungsregel können Sie Automatisierungsregeln einheitlich auf verwaltete Konten und Kontogruppen anwenden und so bei der Einrichtung von ThreatSync für neue Konten Zeit sparen.

Sie können mehrere verwaltete Konten derselben Vorlage zuweisen. Jedoch können Sie ein Subscriber-Konto nur einer Automatisierungsregelvorlage zuweisen.

  • Wenn Sie ein Konto einer zweiten Vorlage zuweisen, ersetzt die neue Vorlage die erste Vorlage.
  • Wenn Sie mehrere Konten einer Vorlage zuweisen und einige dieser Konten sind bereits einer Vorlage zugewiesen, müssen Sie wählen, ob Sie für diese Konten die bestehende Vorlage beibehalten oder ersetzen wollen.

Wenn Sie Vorlagen für Automatisierungsregeln bestimmten Konten zuweisen, können diese Konten die Regeln der Vorlagen auf der Liste Automatisierungsregeln zwar anzeigen, aber nicht bearbeiten.

Auf der Seite Vorlagen für Automatisierungsregel können Sie:

Eine Vorlage für eine Automatisierungsregel hinzufügen

Wenn Sie eine Vorlage für eine Automatisierungsregel erstellen, weisen Sie der Vorlage bestimmte Konten zu und fügen Automatisierungsregeln hinzu. Wenn Sie zu den Regeln in einer Vorlage weitere hinzufügen oder diese ändern, erhalten die zugewiesenen Konten automatisch die aktualisierten Regeln.

Sie können die Prioritätsreihenfolge von Automatisierungsregeln in einer Vorlage ändern, indem die Regeln von oben nach unten in die gewünschte Rangfolge gebracht werden. Falls ein Vorfall die konfigurierten Bedingungen mehrerer Regeln erfüllt, führt ThreatSync die Aktion aus, die in der entsprechenden Regel mit dem höchsten Rang vorgegeben ist. Jede empfohlene Aktion bei einem Vorfall wird einzeln mit einer Regel abgeglichen. Wenn ein Vorfall keine empfohlene Aktion hat, die einer in der Regel vorgegebenen Aktion entspricht, wird diese Regel übersprungen. Weitere Informationen finden Sie unter Reihenfolge der Automatisierungsregeln in ThreatSync.

Mittels einer Vorlage zugewiesene Automatisierungsregeln werden auf der Regelliste im Subscriber-Konto zuerst angezeigt.

So fügen Sie eine Vorlage für eine Automatisierungsregel hinzu:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus.
    Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregel wird geöffnet.

Screen shot of the Automation Policy Templates page for Service Providers

  1. Klicken Sie auf Vorlage für Automatisierungsregel hinzufügen.
    Die Seite Vorlage für Automatisierungsregel hinzufügen wird geöffnet.

Screen shot of the Add Automation Policy Template page for Service Providers

  1. Geben Sie einen Namen für Ihre Automatisierungsregelvorlage ein.
  2. (Optional) Geben Sie eine Beschreibung für Ihre Automatisierungsregelvorlage ein.
  3. Klicken Sie im Textfeld Zuweisungen auf Konten hinzufügen.
    Das Dialogfeld Konten hinzufügen wird geöffnet.
  4. Wählen Sie das Konto bzw. die Kontogruppe, dem/der Sie die Vorlage zuweisen wollen.
    Sie können jedem Konto nur eine Vorlage zuweisen. Wenn Sie ein Konto einer zweiten Vorlage zuweisen, wird die erste Vorlage entfernt.
  5. Wenn Sie eine Automatisierungsregelvorlage mehreren Konten oder Kontogruppen zuweisen möchten, von denen einigen bereits eine Vorlage zugewiesen ist, wird das Dialogfeld Regelvorlage zuweisen geöffnet. Wählen Sie eine der folgenden Optionen:
    • Bestehende Vorlage beibehalten — Die neue Vorlage wird nur den gewählten Konten ohne bestehende Vorlage zugewiesen. Konten mit bereits bestehenden Vorlagen behalten diese.
    • Alle durch diese Vorlage ersetzen — Die neue Vorlage wird allen gewählten Konten zugewiesen.

Screen shot of the Assign Policy Template dialog box

  1. Klicken Sie auf Hinzufügen.
  2. Wiederholen Sie die Schritte 6 bis 9 für jedes Konto, das Sie hinzufügen möchten.
  3. Fügen Sie die Automatisierungsregeln hinzu, die Sie in die Vorlage aufnehmen wollen. Weitere Informationen finden Sie unter Eine Automatisierungsregel zu einer Vorlage hinzufügen.
  4. Klicken Sie auf Speichern.

Eine Automatisierungsregel zu einer Vorlage hinzufügen

Wenn Sie eine Automatisierungsregel hinzufügen, geben Sie die Bedingungen und Maßnahmen vor, die ThreatSync bei einem Vorfall berücksichtigen bzw. durchführen soll.

So fügen Sie eine Automatisierungsregel zu einer Vorlage hinzu:

  1. Fügen Sie eine Vorlage für Automatisierungsregel hinzu oder bearbeiten Sie diese.
  1. Klicken Sie auf Automatisierungsregel hinzufügen.
    Die Seite Regel hinzufügen wird geöffnet.

Screen shot of the Add Policy page in ThreatSync

  1. Um die neue Regel zu aktivieren, klicken Sie auf den Schalter Aktiviert.
  2. Geben Sie einen Namen für Ihre Regel und etwaige Kommentare ein.
  3. Wählen Sie im Abschnitt Regeltyp aus der Dropdown-Liste Typ den Typ der Regel aus, die Sie erstellen möchten:
    • Remediation — Die Automatisierungsregel führt die vorgegebenen Problembehebungsaktionen für Vorfälle durch, die den Bedingungen entsprechen.
    • Archive — Die Automatisierungsregel ändert den Status von Vorfällen, die den Bedingungen entsprechen, zu Archiviert.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. Geben Sie im Abschnitt Bedingungen die Bedingungen an, die ein Vorfall erfüllen muss, damit diese Automatisierungsregel anwendbar ist:

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Vorfallstyp — Wählen Sie einen oder mehrere der folgenden Vorfallstypen:
      • Erweiterte Sicherheitsregel — Die Ausführung bösartiger Skripte und unbekannter Programme, die erweiterte Infektionstechniken nutzen.
      • Exploit — Angriffe, bei denen bösartiger Code eingeschleust werden soll, um Prozesse mit Schwachstellen auszunutzen.
      • Intrusion-Versuch — Ein Sicherheitsereignis, bei dem ein Angreifer versucht, einen nicht autorisierten Zugriff auf ein System zu erlangen.
      • IOA — Angriffsindikatoren (IOA) sind Indikatoren, bei denen es sich höchstwahrscheinlich um einen Angriff handelt.
      • Bösartige URL — Eine URL, die für die Verbreitung von Malware, wie beispielsweise Ransomware, erstellt wurde.
      • Bösartige IP — Eine IP-Adresse, die mit einer bösartigen Aktivität verknüpft ist.
      • Malware — Schadsoftware, deren Ziel es ist, Computersysteme zu schädigen, zu stören und unbefugt Zugriff darauf zu erlangen.
      • PUP — Potenziell unerwünschte Programme (PUPs), die eventuell installiert werden, wenn andere Software auf einem Computer installiert wird.
      • Virus — Bösartiger Code, der in Computersysteme eindringt.
      • Unbekanntes Programm — Das Programm wurde blockiert, weil es noch nicht von WatchGuard Endpoint Security klassifiziert wurde.

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • Gerätetyp — Wählen Sie einen oder mehrere der folgenden Gerätetypen:
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • Durchgeführte Aktionen — Wählen Sie eine oder mehrere dieser bei einem Vorfall durchgeführten Aktionen (nur Regeltyp Archive).
      • Verbindung blockiert — Verbindung ist blockiert.
      • Prozess blockiert — Prozess wurde von einem Endpoint-Gerät blockiert.
      • Gerät isoliert — Die Kommunikation mit dem Gerät ist blockiert.
      • Datei gelöscht — Die Datei wurde als Malware klassifiziert und gelöscht.
      • IP blockiert — Die Netzwerkverbindungen zu und von dieser IP-Adresse sind blockiert.
      • Prozess abgebrochen — Der Prozess wurde von einem Endpoint-Gerät beendet.

  2. Wählen Sie aus der Dropdown-Liste im Abschnitt Aktionen, ob Sie die angegebenen Aktionen ausführen oder verhindern wollen.
    • Perform (Ausführen) — ThreatSync führt die vorgegebenen Aktionen für neue Vorfälle aus, die den Regelbedingungen entsprechen.
    • Prevent (Verhindern) — ThreatSync verhindert die vorgegebenen Aktionen. Um eine Ausnahme für eine umfassendere Perform-Regel zu erstellen, können Sie eine Regel mit der Prevent-Aktion hinzufügen und höher einstufen, als die andere Regel in der Regelliste. Eine Regel mit der Aktion Prevent verhindert die manuelle Ausführung einer Aktion durch einen Operator nicht.
  1. Wählen Sie eine oder mehrere der folgenden Aktionen, um sie auszuführen bzw. zu verhindern:
    • Ursprungs-IP der Bedrohung blockieren (nur externe IPs) — Blockiert die mit dem Vorfall verknüpfte externe IP-Adresse. Wenn Sie diese Aktion auswählen, blockieren alle Fireboxen, bei denen ThreatSync im WatchGuard Cloud-Konto aktiviert ist, die Verbindungen zu und von der IP-Adresse.
    • Datei löschen — Löscht die gekennzeichnete Datei, die mit dem Vorfall verknüpft ist.
    • Gerät isolieren — Isoliert den Computer vom Netzwerk, um die Verbreitung der Bedrohung zu verhindern und die Exfiltration von vertraulichen Informationen zu blockieren.
    • Böswilligen Prozess abbrechen — Beendet einen Prozess, der mit dem Vorfall verknüpftes bösartiges Verhalten gezeigt hat.
    • Vorfall archivieren — Ändert den Vorfallsstatus zu Archiviert (nur Regeltyp Archive).

    2. Falls der Regeltyp Archive ist, wird die Aktion Vorfall archivieren automatisch ausgewählt und Sie können keine andere Aktion auswählen.

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. Klicken Sie auf Hinzufügen.
    Die neue Regel wird zur Regelliste hinzugefügt.

Eine Automatisierungsregel in einer Vorlage deaktivieren

Auf der Seite Vorlage für Automatisierungsregel bearbeiten können Sie eine oder mehrere Automatisierungsregeln in einer Vorlage deaktivieren und später wieder aktivieren.

So deaktivieren Sie eine Automatisierungsregel in einer Vorlage:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregel wird geöffnet.
  3. Wählen Sie die Vorlage, bei der Sie die Automatisierungsregel deaktivieren wollen.
    Die Seite Vorlage für Automatisierungsregel bearbeiten wird geöffnet.
  4. Deaktivieren Sie in der Zeile für die Automatisierungsregel den Schalter Aktiviert.
  5. Klicken Sie auf Speichern.

Eine Automatisierungsregel von einer Vorlage löschen

Auf der Seite Vorlage für Automatisierungsregel bearbeiten können Sie eine Automatisierungsregel von einer Vorlage löschen.

So löschen Sie eine Automatisierungsregel von einer Vorlage:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregel wird geöffnet.
  3. Wählen Sie die Vorlage, von der Sie eine Automatisierungsregel löschen wollen.
  4. Klicken Sie neben den Namen der Regel, die Sie löschen wollen, auf Das Optionen-Symbol.. Klicken Sie auf Löschen.
  5. Klicken Sie auf Löschen.
  6. Klicken Sie auf Speichern.

Eine Vorlage für eine Automatisierungsregel kopieren

Auf der Seite Vorlagen für Automatisierungsregel können Sie eine Automatisierungsvorlage kopieren und als Ausgangspunkt für eine neue Vorlage nutzen.

So kopieren Sie eine Vorlage für Automatisierungsregel:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregel wird geöffnet.
  3. Klicken Sie in der Zeile der Vorlage, die Sie kopieren wollen, auf .

  1. Geben Sie auf der Seite Vorlage für Automatisierungsregeln kopieren einen Namen für die neue Vorlage ein.
  2. Nehmen Sie nach Bedarf Änderungen an der Vorlage vor.
    • Zuweisungen hinzufügen
    • Regeln hinzufügen oder löschen
    • Regeln aktivieren oder deaktivieren
  3. Klicken Sie auf Speichern.

Eine Vorlage für eine Automatisierungsregel löschen

Auf der Seite Vorlagen für Automatisierungsregel können Sie eine Automatisierungsregel löschen, falls diese keinem von Ihnen verwalteten Konto zugewiesen ist.

So löschen Sie eine Vorlage für eine Automatisierungsregel:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregel wird geöffnet.
  3. Klicken Sie in der Zeile der Vorlage, die Sie löschen möchten, auf .

  1. Klicken Sie auf Löschen.
  2. Klicken Sie auf Speichern.

Verwaltete Konten mit Automatisierungsregeln auf Kontoebene anzeigen

Auf der Seite Vorlagen für Automatisierungsregel können Sie eine Liste Ihrer verwalteten Konten mit Automatisierungsregeln auf Kontoebene anzeigen und ausstehende Regeländerungen bereitstellen.

So stellen Sie ausstehende Regeländerungen für ein oder mehrere verwaltete Konten bereit:

  1. Klicken Sie neben dem verwalteten Konto mit ausstehenden Regeländerungen auf Bereitstellen.
  2. Um ausstehende Regeländerungen für mehrere verwaltete Konten bereitzustellen, klicken Sie auf Alle ausstehenden Änderungen bereitstellen.

Screenshot of the Accounts with Account-Level Automation Policies section

Die Änderungen werden für das ThreatSync-Entscheidungsmodul bereitgestellt, das dann Aktionen an Fireboxen oder Endpoint-Geräte sendet, wenn Vorfälle der Automatisierungsregel entsprechen.

Related Topics

Über ThreatSync-Automatisierungsregeln

Verwalten von ThreatSync-Automatisierungsregeln (Subscriber)

Kontogruppen verwalten

ThreatSync-Geräteeinstellungen konfigurieren

Konfigurieren von ThreatSync

Über ThreatSync