Bewährte Verfahren für ThreatSync

Gilt für: ThreatSync Dieses Thema gilt für ThreatSync.

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm ThreatSync Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Für die optimierte Erhebung und Korrelation von Daten Ihres Netzwerks und Ihrer Endpoint-Geräte mit dem Ziel der Erkennung von und Reaktion auf Bedrohungen empfehlen wir Ihnen die folgenden bewährten Verfahren beim Einrichten und Konfigurieren von ThreatSync einzuhalten:

• Bevor Sie beginnen
• Empfohlene Firebox-Einstellungen
• Empfohlene Access Point-Einstellungen
• Empfohlene Endpoint Security-Einstellungen
• Geräteeinstellungen konfigurieren
• Bewährte Verfahren für die Konfiguration von Automatisierungsregeln
  • Standard-Remediation-Automatisierungsregel
  • Standard-Close-Automatisierungsregel
• Blockierte-Seiten-Ausnahmen für Firebox
• Vertrauenswürdige Access Points
• Empfohlene Benachrichtigungsrichtlinien

Bevor Sie beginnen

Stellen Sie vor der Einrichtung und Konfiguration von ThreatSync sicher, dass die im folgenden Abschnitt beschriebenen Voraussetzungen für Firebox, Access Point und Endpoint Security erfüllt sind: Schnellstart — ThreatSync einrichten.

Empfohlene Firebox-Einstellungen

So stellen Sie sicher, dass Ihre Firebox Vorfallsdaten an ThreatSync sendet:

• Überprüfen Sie, dass folgende Sicherheitsdienste, die ThreatSync-Vorfälle generieren, auf der Firebox aktiviert und konfiguriert sind:
• APT Blocker
• Gateway AntiVirus
• WebBlocker
• IPS
• Für lokal verwaltete Fireboxen:
• Aktivieren Sie in den HTTPS-Proxy-Aktionen die Inhaltsüberprüfung. Weitere Informationen finden Sie unter HTTPS-Proxy: Inhaltsüberprüfung.
• Aktivieren Sie die Protokollierung für alle Regeln und Dienste. Weitere Informationen finden Sie unter Präferenzen für Protokollierung und Benachrichtigung festlegen.
• Aktivieren Sie für Cloud-verwaltete Fireboxen die Option HTTPS-Datenverkehr entschlüsseln in den Firewall-Regeln für den ausgehenden Web-Datenverkehr. Weitere Informationen finden Sie unter Datenverkehrstypen in einer Firewall-Regel konfigurieren.

Empfohlene Access Point-Einstellungen

Um sicherzustellen, dass Ihre durch WatchGuard Cloud verwalteten Access Points Vorfallsdaten an ThreatSync senden und Reaktionsmaßnahmen durchführen können, überprüfen Sie Folgendes:

• Access Points verfügen über eine WatchGuard USP Wi-Fi Management-Lizenz
• Access Points führen Firmware v2.0 oder höher aus, um Daten an ThreatSync zu senden
• Access Points führen Firmware v2.7 oder höher aus, um Reaktionsmaßnahmen gegen bösartige Access Points durchzuführen, wenn sie mit ThreatSync integriert sind.
• Frequenzbereich-Überwachung ist aktiviert, um bösartige Access Points zu erkennen und Reaktionsmaßnahmen durchzuführen. Weitere Informationen über die Anforderungen und das Aktivieren dieser Funktion finden Sie unter Frequenzbereich-Überwachung mit Access Point.
• Sie haben ein AP230W, AP330 oder AP430CR mit einem speziellen Scan-Sender für die Drahtlos-Erkennung von Evil Twins und ThreatSync-Reaktionsmaßnahmen bereitgestellt.

Sie können keine Drahtlos-Reaktionsmaßnahmen gegen bösartige Access Points durchführen, die WPA3- oder WPA2-Sicherheit mit aktiviertem Protect Management Frames (802.11w) nutzen. Das Gleiche gilt für bösartige Access Points, die auf einem Kanal senden, der sich nicht im aktuellen Einsatzland des erkennenden Access Points befindet.

Empfohlene Endpoint Security-Einstellungen

Die Einstellungen variieren für WatchGuard Advanced EPDR, EPDR, EDR, EDR Core und EPP. In diesem Abschnitt bezieht sich der Begriff Endpoint Security allgemein auf alle Produkte. Falls eine Einstellung in Ihrer Endpoint Security-Verwaltungsoberfläche nicht angezeigt wird, wird diese von Ihrem Produkt nicht unterstützt.

Um sicherzustellen, dass Endpoint Security alle erforderlichen Telemetrie- und Vorfallsdaten an ThreatSync sendet, müssen folgende Endpoint Security-Einstellungen aktiviert sein:

• Sicherheitseinstellungen für Workstations und Server
  • Erweiterter Schutz (Advanced Protection)
    • Betriebsmodus (Sperren-Modus)
    • Anti-Exploit-Schutz
    • Virenschutz
• Angriffsindikatoren (IOAs)

Weitere Informationen zu Endpoint Security-Einstellungen finden Sie unter Einstellungen verwalten.

Geräteeinstellungen konfigurieren

Wenn Sie ThreatSync für ein Konto aktivieren, wird es automatisch auf den Endpoint-Geräten, Fireboxen und Access Points aktiviert, die dem Konto zugewiesen sind. Diese Geräte senden automatisch Daten an ThreatSync.

Wir empfehlen Ihnen, ThreatSync auf allen Geräten in Ihrem Konto zu aktivieren. Um sicherzustellen, dass ThreatSync Vorfallsdaten und Aktionen von neuen Geräten erhält, die Sie zu Ihrem Konto hinzufügen, aktivieren Sie im Abschnitt Automatische ThreatSync-Aktivierung spezifischer Gerätetypen auf neuen Geräten auf der Seite Geräteeinstellungen die Kontrollkästchen Fireboxen und Access Points.

Weitere Informationen finden Sie unter ThreatSync-Geräteeinstellungen konfigurieren.

Bewährte Verfahren für die Konfiguration von Automatisierungsregeln

Wir empfehlen Ihnen, diese bewährten Verfahren bei der Organisation und Überwachung Ihrer Automatisierungsregeln zuBewährte Verfahren berücksichtigen.

Namen von Automatisierungsregeln benutzerdefiniert anpassen

Für ein besseres Verständnis und die einfachere Verwaltung Ihrer Automatisierungsregeln empfehlen wir, aussagekräftige Regelnamen zu vergeben, die Hinweise auf den Zweck der Regel, deren Anwendbarkeit und sonstige einzigartige Eigenschaften enthalten.

Wenn Sie beispielsweise den Regeltyp, den Risikobereich oder die durchgeführte Aktion in Ihren Regelnamen integrieren möchten, könnte Ihre Regel Remediation_6-7_Isolate oder Schließen_1-3 heißen.

Standard-Automatisierungsregeln

Ihr ThreatSync-Konto beinhaltet Standard-Automatisierungsregeln mit empfohlenen Einstellungen. Sie können die Standard-Regeln bearbeiten und zusätzliche ThreatSync-Automatisierungsregeln auf Basis der Anforderungen Ihres Netzwerks konfigurieren.

Die Standard-ThreatSync-Automatisierungsregeln sind standardmäßig deaktiviert. Bei neuen Konten werden die Standard-Automatisierungsregeln auf der Seite Automatisierungsregeln angezeigt. Wählen Sie bei bestehenden Konten auf der Seite Automatisierungsregeln die Option Standard-Regeln generieren, um sie in Ihrer Liste der Automatisierungsregeln anzuzeigen. Wir empfehlen Ihnen, die Standard-Automatisierungsregeln zu aktivieren, damit Sie sich auf Vorfälle konzentrieren können, die eine manuelle Untersuchung und Problembehebung erfordern.

Weitere Informationen über das Aktivieren bzw. Deaktivieren von Automatisierungsregeln finden Sie unter Automatisierungsregeln aktivieren oder deaktivieren.

Standard-Remediation-Automatisierungsregel

Um sicherzustellen, dass ThreatSync Sie automatisch vor Vorfällen mit hohem Risiko schützt, empfehlen wir Ihnen, die Standard-Remediation-Regel für Vorfälle mit einem Risikobereich von 7-10 zu aktivieren.

Standard-Remediation-Regel

• Rang — 1
• Regeltyp — Remediation (Problembehebung)
• Risikobereich — 7-10
• Gerätetyp — Firebox, Endpoint oder Access Point
• Aktionen — Durchführen > Gerät isolieren

Diese Regel isoliert automatisch jedes Gerät vom Netzwerk, das von Vorfällen mit einem Risiko von 7 oder höher betroffen ist, um die Ausbreitung der Bedrohung zu verhindern. So können Sie isolierte Geräte analysieren und Vorfallsdetails untersuchen. Weitere Informationen finden Sie unter Vorfallsdetails prüfen.

Standard-Close-Automatisierungsregel

Um die Anzahl von Vorfällen mit niedrigem Risiko in der Vorfallsliste zu verringern, damit Sie sich auf Vorfälle mit höherem Risiko konzentrieren können, empfehlen wir Ihnen, die Standard-Close-Regel für Vorfälle mit einer Risikobewertung von 1 zu aktivieren.

Standard-Close-Regel

• Regeltyp — Close (Schließen)
• Risikobereich — 1
• Gerätetyp — Firebox, Endpoint oder Access Point
• Aktionen — Durchführen > Schließen

Diese Regel schließt automatisch Vorfälle mit einer Risikobewertung von 1. Wir empfehlen Ihnen, die geschlossenen Vorfälle zu überprüfen und zu entscheiden, ob weitere Aktionen nötig sind. Um Ihre Liste der geschlossenen Vorfälle zu überprüfen, filtern Sie Ihre Vorfälle auf der Seite Vorfälle nach Status. Weitere Informationen finden Sie unter ThreatSync-Vorfälle überwachen.

Falls es aus Zeitgründen nicht möglich ist, alle Vorfälle mit niedrigem Risiko zu untersuchen, können Sie den Risikobereich Ihrer Schließen-Regel z. B. auf 1-3 erhöhen.

Weitere Informationen zu den Automatisierungsregeln finden Sie unter Über ThreatSync-Automatisierungsregeln.

Blockierte-Seiten-Ausnahmen für Firebox

Sollte ThreatSync kritische IP-Adressen blockieren, wie z. B. die IP-Adresse eines von Ihrem Marketing-Team verwendeten Servers, empfehlen wir Ihnen, auf Ihrer Firebox für diese IP-Adresse eine Blockierte-Seiten-Ausnahme zu konfigurieren. Wenn Sie eine Blockierte-Seiten-Ausnahme für eine IP-Adresse hinzufügen, lässt die Firebox den Datenverkehr von und zu dieser IP-Adresse zu, selbst wenn sie aufgrund einer manuellen Aktion oder einer Automatisierungsregel in der Liste Von ThreatSync blockierte IPs aufgeführt wird.

Informationen dazu, wie Sie Blockierte-Seiten-Ausnahmen für lokal verwaltete Fireboxen erstellen, finden Sie unter Blockierte Seiten-Ausnahmen erstellen.

Informationen dazu, wie Sie Ausnahmen für Cloud-verwaltete Fireboxen hinzufügen, finden Sie unter Ausnahmen in WatchGuard Cloud hinzufügen.

Vertrauenswürdige Access Points

Wenn Sie sehen, dass ThreatSync die MAC-Adressen legitimer Access Points (z. B. QA-Test-Access Points eines Drittanbieters oder von WatchGuard Wi-Fi Cloud oder einer Firebox verwaltete WatchGuard Wi-Fi 5 Access Points) in Ihrer Bereitstellung blockiert, dann können Sie diese Geräte als vertrauenswürdig einstufen, um zukünftige Vorfallsbenachrichtigungen oder Reaktionsmaßnahmen durch eine Automatisierungsregel zu verhindern.

WatchGuard Access Points und WLAN-Fireboxen im selben WatchGuard Cloud-Konto werden von der Funktion Frequenzbereich-Überwachung automatisch als vertrauenswürdige Access Points identifiziert und werden in der Liste Vertrauenswürdige Access Points nicht angezeigt.

Weitere Informationen finden Sie unter Vertrauenswürdige Access Points in ThreatSync konfigurieren.

Empfohlene Benachrichtigungsrichtlinien

Es hat sich bewährt, Vorfälle in der ThreatSync-Benutzeroberfläche zu überwachen, sobald sie generiert werden. Sie können sich eine Momentaufnahme der Vorfallsaktivität auf der Seite ThreatSync-Vorfallsübersicht ansehen und Benachrichtigungsrichtlinien in WatchGuard Cloud konfigurieren, um Warnmeldungen zu generieren und E-Mail-Benachrichtigungen für neue Vorfälle, spezielle durchgeführte Aktionen und geschlossene Vorfälle zu senden.

Um leichter auf neu auftretende Bedrohungen reagieren zu können, empfehlen wir Ihnen, eine Benachrichtigungsrichtlinie für die Vorfälle mit dem höchsten Risiko einzurichten.

Empfehlung für Benachrichtigungsrichtlinie

• Benachrichtigungstyp — Neuer Vorfall
• Risikobereich — 7-10
• Vorfallstyp — Wählen Sie Alle Vorfallstypen
• Gerätetyp — Wählen Sie Alle Gerätetypen
• Zustellmethoden — E-Mail
• Häufigkeit — Alle Warnmeldungen senden

Diese Benachrichtigungsrichtlinie erzeugt eine Warnmeldung, die auf der Seite Warnmeldungen in WatchGuard Cloud angezeigt wird, und sendet eine E-Mail-Benachrichtigung an die vorgegebenen Empfänger.

Weitere Informationen zur Einrichtung von Benachrichtigungsrichtlinien finden Sie unter ThreatSync-Benachrichtigungsrichtlinien konfigurieren.

Ähnliche Themen

Über ThreatSync

Schnellstart — ThreatSync einrichten

Bewährte Verfahren für die Firebox-Konfiguration

Über Firebox-Protokollierung und -Benachrichtigungen

Bewährte Verfahren für Firewall-Regeln

Erste Schritte mit WatchGuard Endpoint Security