Bewährte Praktiken für ThreatSync

Für die optimierte Erhebung und Korrelation von Daten Ihres Netzwerks und Ihrer Endpoint-Geräte mit dem Ziel der Erkennung von und Reaktion auf Bedrohungen empfehlen wir Ihnen die folgenden bewährten Praktiken beim Einrichten und Konfigurieren von ThreatSync zu befolgen:

• Bevor Sie beginnen
• Empfohlene Firebox-Einstellungen
• Empfohlene Endpoint Security-Einstellungen
• Geräteeinstellungen konfigurieren
• Bewährte Praktiken für die Konfiguration von Automatisierungsregeln
  • Empfohlene Automatisierungsregel für die Problembehebung
  • Empfohlene Archive-Automatisierungsregel
• Ausnahmen für blockierte Seiten
• Empfohlene Benachrichtigungsregeln

Bevor Sie beginnen

Stellen Sie vor der Einrichtung und Konfiguration von ThreatSync sicher, dass die in Schnellstart — ThreatSync einrichten vorgegebenen Voraussetzungen für die Firebox und Endpoint Security erfüllt sind.

Empfohlene Firebox-Einstellungen

So stellen Sie sicher, dass Ihre Firebox Vorfallsdaten an ThreatSync sendet:

• Überprüfen Sie, dass folgende Sicherheitsdienste, die ThreatSync-Vorfälle generieren, auf der Firebox aktiviert und konfiguriert sind:
• APT Blocker
• Gateway AntiVirus
• WebBlocker
• IPS
• Für lokal verwaltete Fireboxen:
• Aktivieren Sie in den HTTPS-Proxy-Aktionen die Inhaltsüberprüfung. Weitere Informationen finden Sie unter HTTPS-Proxy: Content Inspection.
• Aktivieren Sie die Protokollierung für alle Regeln und Dienste. Weitere Informationen finden Sie unter Set Logging and Notification Preferences.
• Aktivieren Sie für Cloud-verwaltete Fireboxen die Option HTTPS-Datenverkehr entschlüsseln in den Firewall-Regeln für den ausgehenden Web-Datenverkehr. Weitere Informationen finden Sie unter Konfigurieren der Datenverkehrstypen in einer Firewall-Regel.

Empfohlene Endpoint Security-Einstellungen

Die Einstellungen für WatchGuard Advanced EPDR, EPDR, EDR, EDR Core und EPP sind unterschiedlich. In diesem Abschnitt bezieht sich der Begriff Endpoint Security allgemein auf alle Produkte. Falls es in Ihrer Endpoint Security-Verwaltungsoberfläche keine Einstellung gibt, wird dies von Ihrem Produkt nicht unterstützt.

Um sicherzustellen, dass Endpoint Security alle erforderlichen Telemetrie- und Vorfallsdaten an ThreatSync sendet, müssen folgende Endpoint Security-Einstellungen aktiviert sein:

• Sicherheitseinstellungen für Workstations und Server
  • Erweiterter Schutz
    • Betriebsmodus (Sperren-Modus)
    • Anti-Exploit-Schutz
    • Virenschutz
• Angriffsindikatoren (IOAs)

Weitere Informationen zu Endpoint Security-Einstellungen finden Sie unter Einstellungen verwalten.

Geräteeinstellungen konfigurieren

Wenn Sie ThreatSync für ein Konto aktivieren, wird es automatisch auf den Endpoint-Geräten und Fireboxen aktiviert, die dem Konto zugewiesen sind. Diese Geräte senden automatisch Daten an ThreatSync.

Wir empfehlen Ihnen, ThreatSync auf allen Fireboxen in Ihrem Konto zu aktivieren. Um sicherzustellen, dass ThreatSync Vorfallsdaten und Aktionen von neuen Fireboxen erhält, die Sie zu Ihrem Konto hinzufügen, aktivieren Sie das Kontrollkästchen ThreatSync automatisch auf neu hinzugefügten Fireboxen aktivieren auf der Seite Geräteeinstellungen.

Weitere Informationen finden Sie unter ThreatSync-Geräteeinstellungen konfigurieren.

Bewährte Praktiken für die Konfiguration von Automatisierungsregeln

Wir empfehlen Ihnen, diese bewährten Praktiken bei der Organisation und Überwachung Ihrer Automatisierungsregeln zu berücksichtigen.

Namen von Automatisierungsregeln benutzerdefiniert anpassen

Damit Ihre Automatisierungsregeln leichter verständlich und besser zu pflegen sind, vergeben Sie aussagekräftige Regelnamen, die Hinweise auf den Zweck der Regel, deren Anwendbarkeit und sonstige einzigartige Eigenschaften enthalten.

Wenn Sie beispielsweise den Regeltyp, den Risikobereich oder die durchgeführte Aktion in Ihren Regelnamen integrieren möchten, könnte Ihre Regel Remediation_6-7_Isolate oder Archive_1-3 heißen.

Empfohlene Automatisierungsregel für die Problembehebung

Um sicherzustellen, dass ThreatSync Sie automatisch vor Vorfällen mit hohem Risiko schützt, empfehlen wir Ihnen eine Automatisierungsregel für Vorfälle mit einem Risikobereich von 7-10 zu erstellen.

Empfehlung für Remediation-Regel

• Rang — 1
• Regeltyp — Remediation (Problembehebung)
• Risikobereich — 7-10
• Gerätetyp — Endpoint, Firebox
• Aktionen — Perform > Gerät isolieren

Diese Regel isoliert automatisch jedes Gerät vom Netzwerk, das von Vorfällen mit einem Risiko von 7 oder höher betroffen ist, um die Ausbreitung der Bedrohung zu verhindern. So können Sie isolierte Geräte analysieren und Vorfallsdetails untersuchen. Weitere Informationen finden Sie unter Prüfen der Vorfallsdetails.

Empfohlene Archive-Automatisierungsregel

Um die Anzahl von Vorfällen mit niedrigem Risiko in der Vorfallsliste zu verringern, damit Sie sich auf Vorfälle mit höherem Risiko konzentrieren können, empfehlen wir Ihnen eine Archive-Regel für Vorfälle mit einer Risikobewertung von 1 zu erstellen.

Empfehlung für Archive-Regel

• Regeltyp — Archive
• Risikobereich — 1
• Gerätetyp — Endpoint, Firebox
• Aktionen — Perform > Archivieren

Diese Regel archiviert automatisch Vorfälle mit einer Risikobewertung von 1. Wir empfehlen Ihnen, die archivierten Vorfälle zu überprüfen und zu entscheiden, ob weitere Aktionen nötig sind. Um Ihre Liste der archivierten Vorfälle zu überprüfen, filtern Sie Ihre Vorfälle auf der Seite Vorfälle nach Status. Weitere Informationen finden Sie unter ThreatSync-Vorfälle überwachen.

Falls Sie aus Zeitgründen nicht alle Vorfälle mit niedrigem Risiko untersuchen können, könnten Sie den Risikobereich Ihrer Archive-Regel z. B. auf 1-3 erhöhen.

Weitere Informationen zu den Automatisierungsregeln finden Sie unter Über ThreatSync-Automatisierungsregeln.

Ausnahmen für blockierte Seiten

Sollte ThreatSync kritische IP-Adressen blockieren, wie z. B. die IP-Adresse eines von Ihrem Marketing-Team verwendeten Servers, empfehlen wir Ihnen, auf Ihrer Firebox für diese IP-Adresse eine Ausname für Blockierte Seiten zu konfigurieren. Wenn Sie eine Ausnahme für Blockierte Seiten für eine IP-Adresse hinzufügen, lässt die Firebox den Datenverkehr von und zu dieser IP-Adresse zu, selbst wenn sie aufgrund einer manuellen Aktion oder einer Automatisierungsregel in der Liste Von ThreatSync blockierte IPs aufgeführt wird.

Informationen dazu, wie Sie Ausnahmen für blockierte Seiten für lokal verwaltete Fireboxen erstellen, finden Sie unter Create Blocked Sites Exceptions.

Informationen dazu, wie Sie Ausnahmen für Cloud-verwaltete Fireboxen hinzufügen, finden Sie unter Hinzufügen von Ausnahmen in WatchGuard Cloud.

Empfohlene Benachrichtigungsregeln

Es hat sich bewährt, Vorfälle in der ThreatSync-Benutzeroberfläche zu überwachen, sobald sie generiert werden. Sie können sich eine Momentaufnahme der Vorfallsaktivität auf der Seite ThreatSync Vorfall-Zusammenfassung ansehen und Benachrichtigungsregeln in WatchGuard Cloud konfigurieren, um Warnmeldungen zu generieren und E-Mail-Benachrichtigungen für neue Vorfälle, spezielle durchgeführte Aktionen und archivierte Vorfälle zu senden.

Um leichter auf neu auftretende Bedrohungen reagieren zu können, empfehlen wir Ihnen, eine Benachrichtigungsregel für die Vorfälle mit dem höchsten Risiko einzurichten.

Empfehlung für Benachrichtigungsregel

• Benachrichtigungstyp — Neuer Vorfall
• Risikobereich — 7-10
• Vorfallstyp — Wählen Sie Alle Vorfallstypen
• Gerätetyp — Wählen Sie Alle Gerätetypen
• Zustellmethoden — E-Mail
• Häufigkeit — Alle Warnmeldungen senden

Diese Benachrichtigungsregel erzeugt eine Warnmeldung, die auf der Seite Warnmeldungen in WatchGuard Cloud angezeigt wird, und sendet eine E-Mail-Benachrichtigung an die vorgegebenen Empfänger.

Weitere Informationen zur Einrichtung von Benachrichtigungsregeln finden Sie unter ThreatSync-Benachrichtigungsrichtlinien konfigurieren.

Related Topics

Über ThreatSync

Schnellstart — ThreatSync einrichten

Firebox Configuration Best Practices

About Firebox Logging and Notification

Bewährte Praktiken für Firewall-Regeln

Erste Schritte mit WatchGuard Endpoint Security