Aktionen für Vorfälle und Endpoints durchführen

Gilt für: ThreatSync

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm ThreatSync Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Im Rahmen der Überwachung der von ThreatSync erkannten Bedrohungen und der Überprüfung der Details eines Vorfalls oder eines Endpoints könnten Sie eine Maßnahme für dessen Behebung ergreifen oder eine von einem WatchGuard-Produkt oder -Dienst automatisch durchgeführte Aktion rückgängig machen wollen.

  • Um Daten an ThreatSync zu senden und Aktionen zu empfangen, müssen die Fireboxen mit Fireware v12.9 oder höher laufen und für die Protokollierung und Berichterstellung oder Cloud-Verwaltung zu WatchGuard Cloud hinzugefügt sein.
  • Um Daten an ThreatSync senden zu können, müssen Access Points Firmware v2.0 oder höher ausführen und Frequenzbereich-Überwachung aktiviert haben.
  • Um bei Integration mit ThreatSync Reaktionsmaßnahmen gegen bösartige Access Points durchführen zu können, müssen Access Points Firmware v2.7 oder höher ausführen und Frequenzbereich-Überwachung aktiviert haben.
  • Für die Drahtlos-Erkennung von Evil Twins und ThreatSync-Reaktionsmaßnahmen zum Blockieren von WLAN-Client-Verbindungen bei bösartigen Access Points ist ein AP230W, AP330 oder AP430CR mit einem speziellen scanfähigen Sender erforderlich.
  • Sie können keine Drahtlos-Reaktionsmaßnahmen gegen bösartige Access Points durchführen, die WPA3-Sicherheit oder WPA2-Sicherheit mit aktiviertem Protect Management Frames (802.11w) nutzen.
  • Sie können keine Drahtlos-Reaktionsmaßnahmen gegen bösartige Access Points durchführen, die auf einem Kanal senden, der sich nicht im aktuellen Einsatzland des erkennenden Access Points befindet.

Sie können folgende Aktionen manuell von der ThreatSync-Benutzeroberfläche aus durchführen:

  • IP blockieren/IP-Blockierung aufheben — Blockiert bzw. hebt die Blockierung der mit dem Vorfall verknüpften externen IP-Adresse auf. Wenn Sie diese Aktion auswählen, blockieren alle Fireboxen im WatchGuard Cloud-Konto die Verbindungen zu und von der IP-Adresse bzw. heben die Blockierung auf.

    Von ThreatSync blockierte IP-Adressen werden in Fireware oder WatchGuard Cloud nicht in der Liste mit den von der Firebox blockierten Seiten aufgeführt. Weitere Informationen finden Sie unter Von ThreatSync blockierte Elemente verwalten.

  • Datei löschen/Datei wiederherstellen — Löscht die mit dem Vorfall verknüpfte markierte Datei oder stellt eine zuvor gelöschte Datei wieder her.
  • Gerät isolieren/Geräteisolierung beenden — Isoliert den Computer vom Netzwerk, um die Verbreitung der Bedrohung zu verhindern und die Exfiltration vertraulicher Informationen zu blockieren, oder beendet die Isolierung eines zuvor isolierten Computers.
  • Access Point blockieren/Access Point-Blockierung aufheben — Blockiert WLAN-Client-Verbindungen zu bösartigen Access Points.

    Der WatchGuard Access Point, der das bösartige Gerät erkennt, muss über einen speziellen Scan-Sender verfügen, um Drahtlos-Reaktionsmaßnahmen auszuführen und WLAN-Client-Verbindungen zu einem bösartigen Access Point zu blockieren.

  • Prozess abbrechen — Beendet einen Prozess, der mit dem Vorfall verknüpftes bösartiges Verhalten gezeigt hat.
  • Fernsteuerung — Stellt eine Fernverbindung zu dem ausgewählten Windows-Computer in Ihrem Netzwerk her, damit Sie einen potenziellen Angriff untersuchen und beheben können. Das Fernsteuerungstool erfordert Advanced EPDR. Weitere Informationen finden Sie unter Über das Fernzugriffstool.
  • Benutzer blockieren/Benutzer-Blockierung aufheben — Blockiert bzw. hebt die Blockierung des Benutzers auf, der mit dem Vorfall des Zugriffs auf Zugangsdaten in AuthPoint im Zusammenhang steht. Weitere Informationen zum Blockieren von Benutzern bzw. zum Aktivieren blockierter Benutzer in AuthPoint finden Sie unter Benutzer oder Token blockieren.

Nicht alle Aktionen sind auf alle Vorfallstypen anwendbar.

Wenn Sie den Status eines Vorfalls ändern oder eine Aktion für einen Vorfall durchführen, wird ein Dialogfeld mit einem Textfeld geöffnet, in das Sie einen optionalen Kommentar eingeben können. Diese Kommentare werden im Feld Kommentare auf der Seite Vorfallsdetails angezeigt. Weitere Informationen finden Sie unter Vorfallsdetails prüfen.

Aktionen durchführen

Sie können Aktionen von den Seiten Vorfälle, Vorfallsdetails und Endpoints aus durchführen.

So führen Sie eine Aktion für einen oder mehrere Vorfälle auf der Seite Vorfälle aus:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Aktivieren Sie das Kontrollkästchen neben einem oder mehreren Vorfällen.
    Die Menüs Status ändern und Aktionen werden angezeigt.
  3. Wählen Sie aus der Dropdown-Liste Aktionen die auszuführende Aktion aus.

Screenshot of the Actions drop-down list in the Incidents page

Die Empfehlungen für einen Vorfall auf der Seite Vorfallsdetails bestimmen, welche Aktionen in der Dropdown-Liste Aktionen auf der Seite Vorfälle verfügbar sind. Falls beispielsweise die empfohlene Aktion für einen Vorfall das Isolieren eines Geräts ist, wird die Option Gerät isolieren/Geräteisolierung beenden in der Dropdown-Liste Aktionen aktiviert.

So führen Sie eine Aktion für einen Vorfall auf der Seite Vorfallsdetails aus:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall in der Vorfallsliste.
    Die Seite Vorfallsdetails wird geöffnet.
  3. So führen Sie eine Aktion aus:
    • Klicken Sie im Abschnitt Bedrohungsdetails auf eine Aktion.
    • Klicken Sie in den anderen Abschnitten auf das Blitz-Symbol Screen shot of bolt icon, um das Menü Aktion zu öffnen und wählen Sie dann eine Aktion.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

So führen Sie eine Aktion für einen oder mehrere Endpoints auf der Seite Endpoints durch:

  1. Wählen Sie Überwachen > Bedrohung > Endpoints.
    Die Seite Endpoints wird geöffnet.
  2. Aktivieren Sie das Kontrollkästchen neben einem oder mehreren Endpoints.
    Das Menü Aktionen wird angezeigt.
  3. Wählen Sie aus der Dropdown-Liste Aktionen die auszuführende Aktion aus.

Screenshot of the Actions menu on the Endpoints page

Falls ein Fehler auftritt und ThreatSync eine Aktion nicht durchführen kann, wird ein rotes Ausrufezeichen oder eine Fehlermeldung angezeigt. Weitere Informationen finden Sie unter Fehlersuche bei Vorfallsfehlern.

Sie können Benachrichtigungen einrichten, um Warnmeldungen zu generieren, wenn Aktionen ausgeführt werden. Weitere Informationen finden Sie unter ThreatSync-Benachrichtigungsrichtlinien konfigurieren.

Aktionen beenden oder rückgängig machen

Falls nötig können Sie eine zuvor ausgeführte Aktion beenden oder rückgängig machen. Wenn Sie beispielsweise eine IP-Adresse blockiert haben, können Sie die Blockierung der IP-Adresse aufheben.

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Aktivieren Sie in der linken Spalte das Kontrollkästchen für einen oder mehrere Vorfälle.
    Die Menüs Status ändern und Aktionen werden angezeigt.
  3. Wählen Sie aus der Dropdown-Liste Aktionen die Aktion aus, die beendet oder rückgängig gemacht werden soll.
  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall in der Vorfallsliste.
    Die Seite Vorfallsdetails wird geöffnet.
  3. Wählen Sie im Abschnitt Bedrohungsdetails die Aktion, die beendet oder rückgängig gemacht werden soll.

Screenshot of the Threat Details section showing the Stop button to stop a process or action

  1. Wählen Sie Überwachen > Bedrohung > Endpoints.
    Die Seite Endpoints wird geöffnet.
  2. Aktivieren Sie das Kontrollkästchen neben einem oder mehreren Endpoints.
    Das Menü Aktionen wird angezeigt.
  3. Wählen Sie aus der Dropdown-Liste Aktionen die Option Isolation stoppen.
  1. Wählen Sie Konfigurieren > ThreatSync > Blockierte Elemente.
    Die Seite Von ThreatSync blockierte Elemente wird geöffnet.
  2. Wählen Sie die Registerkarte Firebox.
  3. Wählen Sie eine oder mehrere blockierte IP-Adressen aus.
  4. Klicken Sie auf Blockierung aufheben.
    Der Datenverkehr von und zu den ausgewählten IP-Adressen wird von den betroffenen Fireboxen nicht länger blockiert.
  1. Wählen Sie Konfigurieren > ThreatSync > Blockierte Elemente.
    Die Seite Von ThreatSync blockierte Elemente wird geöffnet.
  2. Wählen Sie die Registerkarte Access Point.
  3. Wählen Sie eine oder mehrere blockierte MAC-Adressen von Access Points aus.
  4. Klicken Sie auf Blockierung aufheben.
    Die Blockierung aller ausgewählten Access Points ist nun aufgehoben.

Ähnliche Themen

Vorfallsdetails prüfen

Status von Vorfällen schließen oder ändern

ThreatSync-Endpoints überwachen

Von ThreatSync blockierte Elemente verwalten

Fehlersuche bei Vorfallsfehlern

Schnellstart — ThreatSync einrichten

Über das Fernzugriffstool