Gilt für: ThreatSync+ NDR
Um Sichtbarkeit in Ihrem Netzwerk zu erhalten, können Sie den IP-Datenverkehr über alle Geräte in Ihrem Netzwerk überwachen.
Cloud-verwaltete und lokal verwaltete Fireboxen mit Cloud-Reporting, die mit Fireware v12.10.3 oder höher laufen, senden automatisch Netzwerk-Datenverkehrsdaten an WatchGuard Cloud und ThreatSync+ NDR. Dieser Datenfeed bietet die erforderlichen Informationen, sodass ThreatSync+ NDR potenzielle Bedrohungen und verdächtige Aktivitäten, wie laterale Bewegungen, DNS-Tunnel, schnelle und langsame Scans und Datenexfiltration, identifizieren und erkennen kann.
Bei lokal verwalteten Fireboxen mit Cloud-Reporting müssen Sie die Firebox in jeder Regel einzeln aktivieren, damit sie Protokollmeldungen für Berichte sendet. Weitere Informationen finden Sie unter Präferenzen für Protokollierung und Benachrichtigung festlegen in der Fireware-Hilfe.
Bei Fireboxen mit niedrigeren Fireware-Versionen, Drittanbieter-Firewalls oder Switches können Sie Windows- oder Linux-basierte Vor-Ort-Erfassungsgeräte, die als Kollektoren bezeichnet werden, zum Überwachen des Netzwerk-Datenverkehrs nutzen. Kollektoren nehmen Datenfeeds wie NetFlow, sFlow oder Windows DHCP-Serverprotokolle direkt von Switches und Firewalls von Drittanbietern entgegen und leiten sie über eine sichere Verbindung an WatchGuard Cloud weiter. Diese Datenfeeds beinhalten Informationen über den Datenverkehr, der über den Switch oder die Firewall an Netzwerkgeräte fließt.
Über Kollektor-Agenten für ThreatSync+ NDR
Um Kollektoren auf Computern und Servern zu installieren und zu konfigurieren, müssen Sie zuerst WatchGuard Agent herunterladen und danach die ThreatSync+ NDR-Kollektoren konfigurieren.
ThreatSync+ NDR-Kollektor-Agent empfängt Protokolldaten von Switches und Routern in Ihrem Netzwerk, DHCP-Daten vom Windows Log Agent und Daten von lokal verwalteten Fireboxen und sendet die Daten an WatchGuard Cloud.
ThreatSync+ NDR-Kollektor-Agent ermittelt:
- Port 2055 für NetFlow-Protokolldaten von Endpoints.
- Port 6343 für sFlow-Protokolldaten von Endpoints.
- Port 514 für DHCP-Protokolldaten von Windows Log Agent.
ThreatSync+ NDR-Kollektor-Agent für Windows
Sie können ThreatSync+ NDR-Kollektor-Agent auf Windows-Computern installieren, die mit Windows 10, Windows 11 oder Windows Server 2022 laufen.
Um WatchGuard Agent und ThreatSync+ NDR-Kollektor-Agent für Windows zu installieren und zu konfigurieren, gehen Sie zu ThreatSync+ NDR-Kollektoren konfigurieren (Windows-Computer).
ThreatSync+ NDR-Kollektor-Agent für Linux
Sie können ThreatSync+ NDR-Kollektor-Agent auf Linux-Computern installieren, die mit Ubuntu 22.04 Server LTS oder 24.04 Server LTS laufen.
Um WatchGuard Agent und ThreatSync+ NDR-Kollektor-Agent für Linux zu installieren und zu konfigurieren, gehen Sie zu ThreatSync+ NDR-Kollektoren konfigurieren (Linux-Computer).
Windows Log Agent
Windows Log Agent ist ein Kollektor-Agent, der Windows DHCP-Serverprotokolle liest und sie dann an ThreatSync+ NDR-Kollektor-Agent weiterleitet. ThreatSync+ NDR-Kollektor-Agent leitet die DHCP-Protokolle seinerseits an WatchGuard Cloud weiter.
Sie können Windows Log Agent auf Windows Server 2019 oder 2022 installieren. Einige dieser Server könnten auch Domänen-Controller sein.
Um die Übersicht über Geräte zu behalten, wenn diese ihre IP-Adresse ändern, empfehlen wir Ihnen, Windows Log Agent zu verwenden, um Active Directory DHCP-Protokolle zu sammeln. Fügen Sie Windows Log Agent auf allen DHCP-Servern hinzu und konfigurieren Sie ihn.
Um Windows Log Agent zu installieren und zu konfigurieren, gehen Sie zu Windows Log Agent konfigurieren.
Schnellstart — ThreatSync+ NDR einrichten