Über ThreatSync

ThreatSync ist ein WatchGuard Cloud-Dienst, der die Technologie eXtended Detection and Response (Erweiterte Erkennung und Bekämpfung von Bedrohungen, XDR) für WatchGuard-Netzwerke (Firebox) und Endpoint Security-Produkte bereitstellt. Dieser Dienst:

  • Bietet eine Benutzerschnittstelle speziell für das Incident Response Team.
  • Zeigt erkannte Bedrohungen als Vorfall an.
  • Korreliert Ereignisse zur Erstellung von Erkennungsmustern für neue Bedrohungen.
  • Ermöglicht es dem Response Team, nach Bedarf zu reagieren oder automatisierte Reaktionen auf die Erkennung bösartiger Aktionen und anormales Verhalten zu konfigurieren.

Weitere Informationen zu ThreatSync finden Sie in folgenden Abschnitten:

Lizenzierung von ThreatSync

ThreatSync ist eine vereinheitlichte WatchGuard-Sicherheitsfunktion, die in folgenden Lizenzen enthalten ist:

  • Firebox Total Security Suite (TSS)
  • WatchGuard EPDR
  • WatchGuard EDR
  • Advanced EPDR

WatchGuard EDR Core ist in der Firebox Total Security Suite enthalten. Weitere Informationen finden Sie unter WatchGuard EDR Core Funktionen.

Je mehr WatchGuard-Produkte Sie haben, desto mehr Zugang erlangen Sie zu Visibility- und erweiterten XDR-Funktionen.

Korrelation

ThreatSync bietet erweiterte Erkennungsfähigkeiten durch die Korrelation der Daten folgender WatchGuard-Sicherheitsprodukte:

  • Fireboxen
  • WatchGuard Endpoint Security (Advanced EPDR, EPDR, EDR und EDR Core)

Um Daten an ThreatSync zu senden und Aktionen zu empfangen, müssen die Fireboxen mit Fireware v12.9 oder höher laufen und für die Protokollierung und Berichterstellung oder Cloud-Verwaltung zu WatchGuard Cloud hinzugefügt sein.

ThreatSync nutzt folgende Ereignisse für die Korrelation:

  • Fortgeschrittene, andauernde Bedrohungen (APTs), die im Netzwerk erkannt und auf einem Endpoint oder einer Firebox gefunden wurden
  • Malware, die im Netzwerk erkannt und auf einem Endpoint oder einer Firebox gefunden wurde
  • Bösartige Netzwerkverbindung, die einem Endpoint-Prozess oder einer Firebox zugeordnet wurde

Auf der ThreatSync-Verwaltungsoberfläche werden die korrelierten Ereignisse für Sie als Vorfälle aufbereitet, die Sie überprüfen und verwalten können.

ThreatSync Risikograde und -bewertungen bei Vorfällen

ThreatSync weist jedem Vorfall automatisch eine Risikobewertung zu, die auf den Seiten Überwachen > Zusammenfassung und Überwachen > Vorfälle aufgeführt wird. Die Risikobewertung gibt den Schweregrad des Vorfalls an.

Der Risikograd ist auf Basis der Risikobewertung in die folgenden Kategorien unterteilt:

  • Kritisch — Werte von 9 oder 10
  • Hoch — Werte von 7 oder 8
  • Mittel — Werte von 4, 5 oder 6
  • Niedrig — Werte von 1, 2 oder 3

ThreatSync berechnet die Risikobewertung für einen Vorfall auf Basis eines Algorithmus, der Daten mehrerer WatchGuard-Produkte und -Dienste miteinander korreliert.

Die unterschiedlichen Risikobewertungen in jedem Risikograd zeigen den relativen Schweregrad eines Vorfalls an und bieten eine Orientierungshilfe für das Incident Response Team, welche Vorfälle zuerst überprüft werden sollten. Wenn ThreatSync einem kritischen Vorfall zum Beispiel eine Risikobewertung von 9 zuweist und einem anderen kritischen Vorfall eine Risikobewertung von 10, empfehlen wir, dass Sie den mit 10 bewerteten Vorfall zuerst prüfen, da er ein höheres Risiko darstellt.

ThreatSync-Verwaltungsoberfläche

Über die ThreatSync-Verwaltungsoberfläche in WatchGuard Cloud können Sie ThreatSync konfigurieren und überwachen. Die Verbindung zu WatchGuard Cloud stellen Sie her, indem Sie sich auf cloud.watchguard.com mit Ihren Konto-Zugangsdaten anmelden.

Konfigurieren von ThreatSync

Zum Konfigurieren von ThreatSync wählen Sie Konfigurieren > ThreatSync.

Screen shot of the default Configure ThreatSync page

Subscriber können die folgenden Seiten für das Konfigurieren von ThreatSync in WatchGuard Cloud nutzen:

  • Automatisierungsregeln — Auf der Seite Automatisierungsregeln können Sie Regeln für das automatische Ausführen von Aktionen auf spezifische Vorfälle konfigurieren. Weitere Informationen finden Sie unter Über ThreatSync-Automatisierungsregeln.
  • Geräteeinstellungen — Auf der Seite Geräteeinstellungen können Sie auswählen, welche Geräte Vorfallsdaten an ThreatSync senden. Weitere Informationen finden Sie unter ThreatSync-Geräteeinstellungen konfigurieren
  • Von ThreatSync blockierte IPs — Auf der Seite Von ThreatSync blockierte IPs können Sie die Blockierung von IP-Adressen aufheben, die durch eine ThreatSync-Aktion blockiert wurden. Weitere Informationen finden Sie unter Von ThreatSync blockierte IP-Adressen verwalten.

In der Ansicht für Service-Provider können Vorlagen für Automatisierungsregeln konfiguriert werden. Weitere Informationen finden Sie unter ThreatSync-Vorlagen für Automatisierungsregel verwalten (Service-Provider).

Überwachen von ThreatSync

Zum Überwachen von ThreatSync wählen Sie Überwachen > Bedrohungen. Die Seite Zusammenfassung wird sowohl für Service-Provider als auch Subscriber standardmäßig geöffnet.

Screen shot of the Summary page in ThreatSync

Verwenden Sie diese Seiten für die Überwachung von ThreatSync in WatchGuard Cloud:

  • Seite Zusammenfassung — Die Seite Zusammenfassung bietet eine Momentaufnahme der Vorfallsaktivität für Ihr Konto. Weitere Informationen finden Sie unter ThreatSync Vorfall-Zusammenfassung.
  • Seite Vorfälle — Die Seite Vorfälle zeigt eine Liste von Vorfällen für einen vorgegebenen Zeitraum und ermöglicht Ihnen die Durchführung von Aktionen zum Behandeln von Vorfällen. Weitere Informationen finden Sie unter ThreatSync-Vorfälle überwachen.

Problembehebung bei Vorfällen

Wenn WatchGuard-Produkte oder -Dienste eine Sicherheitsbedrohung erkennt, könnten sie eine Aktion zur Abwehr dieser Bedrohung ausgeführen. Beispielsweise könnte eine Firebox eine bösartige IP-Adresse blockieren oder die Endpoint Security-Software könnte ein Gerät isolieren. Auf der Seite Vorfallsdetails der ThreatSync-Verwaltungsoberfläche werden automatische Reaktionen auf einen Vorfall angezeigt. Weitere Informationen finden Sie unter Prüfen der Vorfallsdetails.

In ThreatSync gibt es zwei Arten der Problembehebung bei Vorfällen:

Manuelle Aktionen – ausgeführt von einem Benutzer in ThreatSync

Im Rahmen der Überwachung der von ThreatSync erkannten Bedrohungen und der Überprüfung der Vorfallsdetails könnten Sie eine manuelle Aktion für die Behebung des Vorfalls durchführen oder eine von einem WatchGuard-Produkt oder -Dienst automatisch durchgeführte Aktion rückgängig machen wollen. Beispielsweise könnten Sie eine IP-Adresse blockieren, eine bösartige Datei löschen oder einen Computer isolieren.

Wenn Sie einen Vorfall überprüfen, können Sie von verschiedenen Seiten der ThreatSync-Verwaltungsoberfläche aus manuelle Aktionen ausführen.

Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Von einer Automatisierungsregel automatisch durchgeführte Aktionen

Sie können Automatisierungsregeln konfigurieren, um automatisch Aktionen bei Vorfällen auszuführen, die den von Ihnen definierten Bedingungen entsprechen. Beispielsweise könnten Sie eine Automatisierungsregel erstellen, um automatisch Dateien zu löschen, die einem spezifischen Vorfallstyp zuzuordnen sind und eine Risikobewertung von 9 oder 10 aufweisen.

Mithilfe von Automatisierungsregeln können sich Incident Response Teams auf diejenigen Vorfälle konzentrieren, die eventuell eine manuelle Problembehebung erfordern. Service-Provider können Vorlagen für Automatisierungsregeln nutzen, um den von ihnen verwalteten Konten oder Kontogruppen mehrere Regeln zuzuweisen.

Weitere Informationen finden Sie unter Über ThreatSync-Automatisierungsregeln.

Related Topics

Schnellstart — ThreatSync einrichten

Bewährte Praktiken für ThreatSync

Konfigurieren von ThreatSync

Überwachen von ThreatSync

About WatchGuard EDR Core