ThreatSync-Vorlagen für Automatisierungsregeln verwalten (Service-Provider)

Gilt für: ThreatSync

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm ThreatSync Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Als WatchGuard Service-Provider können Sie Vorlagen für ThreatSync-Automatisierungsregel erstellen, die mehrere Automatisierungsregeln enthalten, und die Vorlage dann den von Ihnen verwalteten Subscriber-Konten oder -Kontogruppen zuweisen.

Mit Vorlagen für Automatisierungsregel können Sie Automatisierungsregeln einheitlich auf verwaltete Konten und Kontogruppen anwenden und so bei der Einrichtung von ThreatSync für neue Konten Zeit sparen.

Sie können mehrere verwaltete Konten derselben Vorlage zuweisen. Jedoch können Sie ein Subscriber-Konto nur einer Vorlage für Automatisierungsregeln zuweisen.

  • Wenn Sie ein Konto einer zweiten Vorlage zuweisen, ersetzt die neue Vorlage die erste Vorlage.
  • Wenn Sie mehrere Konten einer Vorlage zuweisen und einige dieser Konten einer Vorlage bereits zugewiesen sind, müssen Sie wählen, ob Sie für diese Konten die bestehende Vorlage beibehalten oder ersetzen wollen.

Wenn Sie Vorlagen für Automatisierungsregeln bestimmten Konten zuweisen, können diese Konten die Regeln der Vorlagen auf der Liste Automatisierungsregeln zwar anzeigen, aber nicht bearbeiten.

Auf der Seite Vorlagen für Automatisierungsregeln können Sie:

Vorlagen für Automatisierungsregeln hinzufügen

Wenn Sie eine Vorlage für Automatisierungsregeln erstellen, weisen Sie der Vorlage bestimmte Konten zu und fügen Automatisierungsregeln hinzu. Wenn Sie zu den Regeln in einer Vorlage weitere hinzufügen oder diese ändern, erhalten die zugewiesenen Konten automatisch die aktualisierten Regeln.

Sie können die Prioritätsreihenfolge von Automatisierungsregeln in einer Vorlage ändern, indem die Regeln von oben nach unten in die gewünschte Rangfolge gebracht werden. Falls ein Vorfall die konfigurierten Bedingungen mehrerer Regeln erfüllt, führt ThreatSync die Aktion aus, die in der entsprechenden Regel mit dem höchsten Rang vorgegeben ist. Jede empfohlene Aktion bei einem Vorfall wird einzeln mit einer Regel abgeglichen.Wenn ein Vorfall keine empfohlene Aktion hat, die einer in der Regel vorgegebenen Aktion entspricht, wird diese Regel übersprungen. Weitere Informationen finden Sie unter Reihenfolge der ThreatSync-Automatisierungsregeln.

Mittels einer Vorlage zugewiesene Automatisierungsregeln werden auf der Regelliste im Subscriber-Konto zuerst angezeigt.

So fügen Sie Vorlagen für Automatisierungsregeln hinzu:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus.
    Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregeln wird geöffnet.

Screen shot of the Automation Policy Templates page for Service Providers

  1. Klicken Sie auf Vorlagen für Automatisierungsregeln hinzufügen.
    Die Seite Vorlagen für Automatisierungsregeln hinzufügen wird geöffnet.

Screen shot of the Add Automation Policy Template page for Service Providers

  1. Geben Sie einen Namen Ihrer Vorlage für Automatisierungsregeln ein.
  2. (Optional) Geben Sie eine Beschreibung Ihrer Vorlage für Automatisierungsregeln ein.
  3. Klicken Sie im Textfeld Zuweisungen auf Konten hinzufügen.
    Das Dialogfeld Konten hinzufügen wird geöffnet.
  4. Wählen Sie das Konto bzw. die Kontogruppe, dem/der Sie die Vorlage zuweisen wollen.
    Sie können jedem Konto nur eine Vorlage zuweisen. Wenn Sie ein Konto einer zweiten Vorlage zuweisen, wird die erste Vorlage entfernt.
  5. Wenn Sie eine Vorlage für die Automatisierungsregel mehreren Konten oder Kontogruppen zuweisen möchten, von denen einigen bereits eine Vorlage zugewiesen ist, wird das Dialogfeld Regelvorlage zuweisen geöffnet. Wählen Sie eine der folgenden Optionen:
    • Bestehende Vorlage beibehalten — Die neue Vorlage wird nur den gewählten Konten ohne bestehende Vorlage zugewiesen. Konten mit bereits bestehenden Vorlagen behalten diese.
    • Alle durch diese Vorlage ersetzen — Die neue Vorlage wird allen gewählten Konten zugewiesen.

Screen shot of the Assign Policy Template dialog box

  1. Klicken Sie auf Hinzufügen.
  2. Wiederholen Sie die Schritte 6 bis 9 für jedes Konto, das Sie hinzufügen möchten.
  3. Fügen Sie die Automatisierungsregeln hinzu, die Sie in die Vorlage aufnehmen wollen. Weitere Informationen finden Sie unter Automatisierungsregeln zu einer Vorlage hinzufügen.
  4. Klicken Sie auf Speichern.

Automatisierungsregeln zu einer Vorlage hinzufügen

Wenn Sie eine Automatisierungsregel hinzufügen, geben Sie die Bedingungen und Maßnahmen vor, die ThreatSync bei einem Vorfall berücksichtigen bzw. durchführen soll. Ihr Service-Provider-Konto beinhaltet Standard-Automatisierungsregeln mit empfohlenen Einstellungen. Sie können die Standard-Regeln bearbeiten und zusätzliche ThreatSync-Automatisierungsregeln auf Basis der Anforderungen Ihres Netzwerks konfigurieren.

Die Standard-ThreatSync-Automatisierungsregeln sind standardmäßig deaktiviert. Bei neuen Konten werden die Standard-Automatisierungsregeln auf der Seite Automatisierungsregeln angezeigt. Wählen Sie bei bestehenden Konten auf der Seite Automatisierungsregeln die Option Standard-Regeln generieren, um sie in Ihrer Liste der Automatisierungsregeln anzuzeigen. Wir empfehlen Ihnen, die Standard-Automatisierungsregeln zu aktivieren, damit Sie sich auf Vorfälle konzentrieren können, die eine manuelle Untersuchung und Problembehebung erfordern.

Weitere Informationen zu den ThreatSync-Automatisierungsregeln finden Sie unter Über ThreatSync-Automatisierungsregeln.

So fügen Sie eine Automatisierungsregel zu einer Vorlage hinzu:

  1. Fügen Sie eine Vorlage für Automatisierungsregeln hinzu oder bearbeiten Sie diese.
  2. Klicken Sie auf Automatisierungsregel hinzufügen.
    Die Seite Regel hinzufügen wird geöffnet.

Screen shot of the Add Policy page in ThreatSync

  1. Um die neue Regel zu aktivieren, wählen Sie den Schalter Aktiviert.
  2. Geben Sie einen Namen für Ihre Regel und etwaige Kommentare ein.
  3. Wählen Sie im Abschnitt Regeltyp aus der Dropdown-Liste Typ den Typ der Regel aus, die Sie erstellen möchten:
    • Remediation — Die Automatisierungsregel führt die vorgegebenen Problembehebungsaktionen für Vorfälle durch, die den Bedingungen entsprechen.
    • Close — Die Automatisierungsregel ändert den Status von Vorfällen, die den Bedingungen entsprechen, zu Archiviert.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. Geben Sie im Abschnitt Bedingungen die Bedingungen an, die ein Vorfall erfüllen muss, damit diese Automatisierungsregel anwendbar ist:

    2. Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Vorfallstyp — Wählen Sie einen oder mehrere der folgenden Vorfallstypen:
      • Erweiterte Sicherheitsregel — Ausführung bösartiger Skripte und unbekannter Programme, die erweiterte Infektionstechniken nutzen.
      • Exploit — Angriffe, bei denen ein bösartiger Code eingeschleust werden soll, um Prozesse mit Schwachstellen auszunutzen.
      • Intrusion-Versuch — Ein Sicherheitsereignis, bei dem ein Angreifer versucht, einen nicht autorisierten Zugriff auf ein System zu erlangen.
      • IOA — Angriffsindikatoren (IOA) sind Indikatoren, bei denen es sich höchstwahrscheinlich um einen Angriff handelt.
      • Bösartige URL — Eine URL, die für die Verbreitung von Malware, wie beispielsweise Ransomware, erstellt wurde.
      • Bösartige IP — Eine IP-Adresse, die mit einer bösartigen Aktivität verknüpft ist.
      • Malware — Schadsoftware, deren Ziel es ist, Computersysteme zu schädigen, zu stören und unbefugt Zugriff darauf zu erlangen.
      • PUP — Potenziell unerwünschte Programme (PUPs), die eventuell installiert werden, wenn andere Software auf einem Computer installiert wird.
      • Virus — Bösartiger Code, der in Computersysteme eindringt.
      • Zugriff auf Zugangsdaten — AuthPoint-Vorfall, der auf Versuche zum Kompromittieren von Konto-Zugangsdaten hinweist.
      • Bösartiger Access Point — Ein nicht autorisierter WLAN Access Point, der mit Ihrem Netzwerk verbunden ist oder in Ihrem Frequenzbereich in Betrieb ist.

      Screenshot of the Incident Types in the Add Automation Policy Wizard

    • Gerätetyp — Wählen Sie einen oder mehrere der folgenden Gerätetypen:
      • Firebox
      • Endpoint
      • AuthPoint
      • Access Point

    Screenshot of the Select Device Types dialog box

  • Durchgeführte Aktionen — Wählen Sie eine oder mehrere dieser bei einem Vorfall durchgeführten Aktionen (nur Regeltyp Schließen).

    • Zugelassen (Audit-Modus) — Es wurde ein Vorfall erkannt, jedoch keine Aktion durchgeführt, da sich das Gerät im Audit-Modus befindet.
    • Verbindung blockiert — Verbindung ist blockiert.
    • Prozess blockiert — Prozess wurde von einem Endpoint-Gerät blockiert.
    • Gerät isoliert — Die Kommunikation mit dem Gerät ist blockiert.
    • Datei gelöscht — Die Datei wurde als Malware klassifiziert und gelöscht.
    • IP blockiert — Die Netzwerkverbindungen zu und von dieser IP-Adresse sind blockiert.
    • Access Point blockieren — WLAN-Client-Verbindungen zu diesem bösartigen Access-Point sind blockiert.
    • Prozess abgebrochen — Der Prozess wurde von einem Endpoint-Gerät beendet.
    • Erkannt — Vorfall erkannt, jedoch keine Aktion durchgeführt.
    • Benutzer blockiert — Vorfall bei Zugriff auf Zugangsdaten, bei dem der Benutzer in AuthPoint blockiert wurde.

    Screenshot of the Select Actions Performed dialog box on the Add Policy page

  1. Wählen Sie aus der Dropdown-Liste im Abschnitt Aktionen, ob Sie die angegebenen Aktionen ausführen oder verhindern wollen.
    • Perform (Durchführen) — ThreatSync führt die vorgegebenen Aktionen für neue Vorfälle aus, die den Regelbedingungen entsprechen.
    • Prevent (Verhindern) — ThreatSync verhindert die vorgegebenen Aktionen. Um eine Ausnahme für eine umfassendere Perform-Regel zu erstellen, können Sie eine Regel mit der Prevent-Aktion hinzufügen und höher einstufen, als die andere Regel in der Regelliste. Eine Regel mit der Aktion Prevent verhindert die manuelle Ausführung einer Aktion durch einen Operator nicht.
  2. Wählen Sie eine oder mehrere der folgenden Aktionen, um sie auszuführen bzw. zu verhindern:
    • Ursprungs-IP der Bedrohung blockieren (nur externe IPs) — Blockiert die mit dem Vorfall verknüpfte externe IP-Adresse. Wenn Sie diese Aktion auswählen, blockieren alle Fireboxen, bei denen ThreatSync im WatchGuard Cloud-Konto aktiviert ist, die Verbindungen zu und von der IP-Adresse.
    • Datei löschen — Löscht die gekennzeichnete Datei, die mit dem Vorfall verknüpft ist.
    • Gerät isolieren — Isoliert den Computer vom Netzwerk, um die Verbreitung der Bedrohung zu verhindern und die Exfiltration von vertraulichen Informationen zu blockieren. Wenn Sie die Option Gerät isolieren auswählen, können Sie Isolationsausnahmen angeben, um eine Kommunikation der ausgewählten Prozesse zuzulassen. Weitere Informationen finden Sie unter Isolationsausnahmen.
    • Access Point blockieren — Blockiert WLAN-Client-Verbindungen zu bösartigen Access Points.
    • Böswilligen Prozess abbrechen — Beendet einen Prozess, der mit dem Vorfall verknüpftes bösartiges Verhalten gezeigt hat.
    • Vorfall schließen — Ändert den Vorfallsstatus zu Geschlossen (Nur Regeltyp Schließen).

    3. Falls der Regeltyp Close (Schließen) ist, wird die Aktion Vorfall schließen automatisch ausgewählt und Sie können keine andere Aktion auswählen.

Screenshot of the Actions dialog box on the Add Policy page

  1. Klicken Sie auf Hinzufügen.
    Die neue Regel wird zur Regelliste hinzugefügt.

Isolationsausnahmen

Wenn Sie die Option Gerät isolieren auswählen, können Sie Isolationsausnahmen angeben, um eine Kommunikation von den ausgewählten Prozessen zuzulassen.

So erstellen Sie eine Isolieren-Ausnahme in einer Automatisierungsregel:

  1. Wählen Sie auf der Seite Regel hinzufügen im Abschnitt Aktionen die Option Gerät isolieren.
    Der Abschnitt Gerät isolieren wird angezeigt.
  2. Aktivieren Sie Erweiterte Optionen.
    Der Abschnitt Erweiterte Optionen wird angezeigt.

Screenshot of Isolate Device Advanced Options section on the Add Policy page.

  1. Geben Sie im Textfeld Kommunikation dieser Prozesse zulassen die Namen der Prozesse ein, die Sie als Ausnahmen für die Isolierung zulassen wollen. Geben Sie beispielsweise chrome.exe ein, um die Kommunikation mit Google Chrome zuzulassen.
  2. (Optional) Wenn Sie möchten, dass auf isolierten Geräten eine Meldung angezeigt wird, dann aktivieren Sie Meldung auf Gerät anzeigen und geben Sie eine benutzerdefinierte Meldung in das Textfeld Meldung auf Gerät anzeigen ein. Wenn Sie nicht möchten, dass auf isolierten Geräten eine Meldung angezeigt wird, deaktivieren Sie Meldung auf Gerät anzeigen.
  3. Klicken Sie auf Hinzufügen

Automatisierungsregeln in einer Vorlage deaktivieren

Auf der Seite Vorlagen für Automatisierungsregeln bearbeiten können Sie eine oder mehrere Automatisierungsregeln in einer Vorlage deaktivieren und später wieder aktivieren.

So deaktivieren Sie Automatisierungsregeln in einer Vorlage:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregeln wird geöffnet.
  3. Wählen Sie die Vorlage, in der Sie die Automatisierungsregel deaktivieren wollen.
    Die Seite Vorlagen für Automatisierungsregeln bearbeiten wird geöffnet.
  4. Deaktivieren Sie in der Zeile für die Automatisierungsregel den Schalter Aktiviert.
  5. Klicken Sie auf Speichern.

Automatisierungsregel in einer Vorlage löschen

Auf der Seite Vorlagen für Automatisierungsregeln bearbeiten können Sie eine Automatisierungsregel in einer Vorlage löschen.

So löschen Sie Automatisierungsregeln in einer Vorlage:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregeln wird geöffnet.
  3. Wählen Sie die Vorlage, in der Sie eine Automatisierungsregel löschen wollen.
  4. Klicken Sie neben den Namen der Regel, die Sie löschen wollen, auf Das Optionen-Symbol.. Klicken Sie auf Löschen.
  5. Klicken Sie auf Löschen.
  6. Klicken Sie auf Speichern.

Vorlagen für Automatisierungsregeln kopieren

Auf der Seite Vorlagen für Automatisierungsregeln können Sie eine Automatisierungsvorlage kopieren und als Ausgangspunkt für eine neue Vorlage nutzen.

So kopieren Sie Vorlagen für Automatisierungsregeln:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregeln wird geöffnet.
  3. Klicken Sie in der Zeile der Vorlage, die Sie kopieren wollen, auf Symbol Kopieren..

Screenshot of the Automation Policy Templates section showing the Copy Icon next to an automation policy

  1. Geben Sie auf der Seite Vorlagen für Automatisierungsregeln kopieren einen Namen für die neue Vorlage ein.
  2. Nehmen Sie nach Bedarf Änderungen an der Vorlage vor.
    • Zuweisungen hinzufügen
    • Regeln hinzufügen oder löschen
    • Regeln aktivieren oder deaktivieren
  3. Klicken Sie auf Speichern.

Vorlagen für Automatisierungsregeln löschen

Auf der Seite Vorlagen für Automatisierungsregeln können Sie eine Automatisierungsregel löschen, falls diese keinem von Ihnen verwalteten Konto zugewiesen ist.

So löschen Sie eine Vorlage für Automatisierungsregeln:

  1. Wählen Sie im Kontomanager das Service-Provider-Konto aus. Um Ihr eigenes Service-Provider-Konto zu wählen, wählen Sie Übersicht. Oder wählen Sie ein Tier-2-Service-Provider-Konto.
  2. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Vorlagen für Automatisierungsregeln wird geöffnet.
  3. Klicken Sie in der Zeile der Vorlage, die Sie löschen möchten, auf Das Löschen-Symbol.

  1. Klicken Sie auf Löschen.
  2. Klicken Sie auf Speichern.

Verwaltete Konten mit Automatisierungsregeln auf Kontoebene anzeigen

Auf der Seite Vorlagen für Automatisierungsregeln können Sie eine Liste Ihrer verwalteten Konten mit Automatisierungsregeln auf Kontoebene anzeigen und ausstehende Regeländerungen bereitstellen.

So stellen Sie ausstehende Regeländerungen für ein oder mehrere verwaltete Konten bereit:

  1. Klicken Sie neben dem verwalteten Konto mit ausstehenden Regeländerungen auf Bereitstellen.
  2. Um ausstehende Regeländerungen für mehrere verwaltete Konten bereitzustellen, klicken Sie auf Alle ausstehenden Änderungen bereitstellen.

Screenshot of the Accounts with Account-Level Automation Policies section

Die Änderungen werden in der ThreatSync-Entscheidungsengine bereitgestellt, die dann Aktionen an WatchGuard-Geräte oder -Dienste sendet, wenn Vorfälle der Automatisierungsregel entsprechen.

Ähnliche Themen

Über ThreatSync-Automatisierungsregeln

ThreatSync-Automatisierungsregeln verwalten (Subscriber)

Kontogruppen verwalten

ThreatSync-Geräteeinstellungen konfigurieren

ThreatSync konfigurieren

Über ThreatSync