Schnellstart — ThreatSync einrichten

In diesem Thema zum schnellen Einstieg in ThreatSync werden die grundlegenden Schritte für das Einrichten und Konfigurieren von ThreatSync in WatchGuard Cloud dargelegt:

Bevor Sie beginnen

Sie müssen keine neue Lizenz kaufen, um ThreatSync zu aktivieren und zu nutzen.

Bevor Sie ThreatSync verwenden können, sollten Sie Folgendes sicherstellen:

  • Sie haben eine Firebox mit Total Security Suite-Subscription, die zwecks Protokollierung und Berichterstellung mit WatchGuard Cloud verbunden ist. Oder Sie haben eine Voll- oder Testlizenz für WatchGuard Endpoint Security (EPDR, Advanced EPDR oder EDR) auf einem oder mehreren Endpoint-Geräten installiert.

WatchGuard EDR Core ist in der Firebox Total Security Suite enthalten. Weitere Informationen finden Sie unter WatchGuard EDR Core Funktionen.

  • Auf Ihrer Firebox wird Fireware v12.9 oder höher ausgeführt.
  • Ihre Endpoint Security Windows-Software ist v.8.00.21.0001 oder höher.
  • Wenn Sie sowohl Firebox- als auch Endpoint Security-Lizenzen haben, befindet sich der Endpoint hinter der Firebox.

Je mehr WatchGuard-Produkte Sie haben, desto mehr Informationen kann ThreatSync für die Korrelation von Ereignissen nutzen.

Wir empfehlen nach der Aktivierung der Lizenz noch einige Minuten bis zur Aktivierung von ThreatSync zu warten.

ThreatSync in Ihrem Konto aktivieren

So aktivieren Sie ThreatSync für Ihr Konto in WatchGuard Cloud:

  1. Wählen Sie Ihr Konto im Kontomanager.
  2. Wählen Sie Überwachen > Bedrohungen oder Konfigurieren > ThreatSync.

Screen shot of the Enable ThreatSync widget

  1. Klicken Sie auf der Kachel ThreatSync auf ThreatSync aktivieren.
    Das Dialogfeld ThreatSync aktivieren wird geöffnet. ThreatSync wird automatisch auf allen Endpoints und Fireboxen in Ihrem Konto aktiviert.

Screen shot of the Enable ThreatSync dialog box

  1. Klicken Sie auf Schließen.
    Die Seite Geräteeinstellungen wird geöffnet.

Geräteeinstellungen konfigurieren

Wenn Sie ThreatSync aktivieren, wird es automatisch auf Ihren Endpoint-Geräten und allen Fireboxen aktiviert, die Ihrem Konto zugewiesen sind. Auf der Seite Geräteeinstellungen können Sie konfigurieren, ob Endpoint-Geräte oder bestimmte Fireboxen Daten an ThreatSync senden.

So konfigurieren Sie ThreatSync-Geräteeinstellungen:

  1. Wählen Sie Konfigurieren > ThreatSync > Geräteeinstellungen.
    Die Seite Geräteeinstellungen wird geöffnet.
  2. Um festzulegen, ob Vorfallsdaten von allen Endpoint-Geräten an ThreatSync gesendet werden, aktivieren bzw. deaktivieren Sie den Schalter Endpoints.
  3. Um festzulegen, welche Fireboxen Daten an ThreatSync senden und Aktionen von ThreatSync erhalten, aktivieren bzw. deaktivieren Sie die Kontrollkästchen neben den Namen der Firebox.

    Screenshot of ThreatSync Device settings page

  4. Um ThreatSync automatisch für alle neuen Fireboxen zu aktivieren, die Sie Ihrem Konto in WatchGuard Cloud zuweisen, aktivieren Sie das Kontrollkästchen ThreatSync automatisch auf neu hinzugefügten Fireboxen aktivieren.
  5. Klicken Sie auf Speichern.

Bedrohungen überwachen

Im Menü Überwachen > Bedrohungen der ThreatSync-Verwaltungsoberfläche wird eine Übersicht der korrelierten Vorfallsaktivität für einen bestimmten Zeitraum angezeigt. Aus dem Menü können zwei Seiten aufgerufen werden:

Seite Zusammenfassung

Die Seite Zusammenfassung wird standardmäßig im Menü Überwachen > Bedrohungen für Service-Provider und Subscriber geöffnet. Auf dieser Seite werden die vorfallsbezogenen Aktivitäten für Ihr Konto zusammengefasst.

Screen shot of the ThreatSync Summary Page in WatchGuard Cloud

Auf den Kacheln wird die Anzahl der Vorfälle mit dem jeweiligen Risikograd und dem Status angezeigt. Die Vorfälle werden darüber hinaus auf einem Zeitstrahl für den zeitlichen Verlauf des Auftretens dargestellt. Mit einem Klick auf die Überschrift einer Kachel können Sie sich die Details dieser Vorfälle auf der Seite Vorfälle ansehen.

Weitere Informationen finden Sie unter ThreatSync Vorfall-Zusammenfassung.

Seite Vorfälle

Die Seite Vorfälle enthält eine zentrale Liste der Vorfälle zur deren Prüfung und Behandlung durch das Incident Response Team. Sie können die Liste nach Datum, Vorfallstyp, Aktion, Risiko oder Status filtern und Aktionen für einen oder mehrere Vorfälle durchführen.

Screen shot of the Incidents page in ThreatSync

Standardmäßig ist die Liste in absteigender Reihenfolge nach Risikograd sortiert, damit Sie die kritischsten Bedrohungen oben auf der Vorfallsliste angezeigt bekommen und bei Bedarf darauf reagieren können. Weitere Informationen finden Sie unter ThreatSync-Vorfälle überwachen.

Um detailliertere Informationen zu einem bestimmten Vorfall anzuzeigen, klicken Sie in der Liste auf den jeweiligen Vorfall. Weitere Informationen finden Sie unter Prüfen der Vorfallsdetails

Sie können Benachrichtigungsregeln in WatchGuard Cloud konfigurieren, um Warnmeldungen für ThreatSync-Ereignisse zu senden. Weitere Informationen finden Sie unter ThreatSync-Benachrichtigungsrichtlinien konfigurieren.

Ausführen von Aktionen zur Problembehebung bei Vorfällen

Wenn Sie die von ThreatSync erkannten Bedrohungen überwachen und die Details der Vorfälle überprüfen, können Sie wählen, ob und mit welcher der folgenden Aktionen Sie den Vorfall beheben möchten:

  • IP blockieren — Blockiert die mit dem Vorfall verknüpfte externe IP-Adresse. Wenn Sie diese Aktion auswählen, blockieren alle Fireboxen im WatchGuard Cloud-Konto die Verbindungen von und zu dieser IP-Adresse. Die blockierte IP-Adresse wird nicht auf der Liste Blockierte Seiten für die Firebox angezeigt.
  • Datei löschen — Löscht die gekennzeichnete Datei, die mit dem Vorfall verknüpft ist.
  • Gerät isolieren — Isoliert den Computer vom Netzwerk, um die Verbreitung der Bedrohung zu verhindern und die Exfiltration von vertraulichen Informationen zu blockieren.
  • Prozess abbrechen — Beendet einen mit dem Vorfall in Verbindung stehenden Prozess, der bösartiges Verhalten gezeigt hat.

Nicht alle Aktionen sind auf alle Vorfallstypen anwendbar.

So führen Sie eine Aktion für einen oder mehrere Vorfälle auf der Seite Vorfälle aus:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Aktivieren Sie in der linken Spalte das Kontrollkästchen für einen oder mehrere Vorfälle.
    Die Menüs Status ändern und Aktionen werden angezeigt.
  3. Wählen Sie aus der Dropdown-Liste Aktionen die auszuführende Aktion aus.

Screenshot of the Actions drop-down list in the Incidents page

Die Empfehlungen für einen Vorfall auf der Seite Vorfallsdetails bestimmen, welche Aktionen auf der Dropdown-Liste Aktionen auf der Seite Vorfälle verfügbar sind. Falls beispielsweise die empfohlene Aktion für einen Vorfall das Isolieren eines Geräts ist, wird die Option Gerät isolieren/Geräteisolierung beenden in der Dropdown-Liste Aktionen aktiviert.

So führen Sie eine Aktion für einen Vorfall auf der Seite Vorfallsdetails aus:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall in der Vorfallsliste.
    Die Seite Vorfallsdetails wird geöffnet.
  3. So führen Sie eine Aktion aus:
    • Klicken Sie im Abschnitt Bedrohungsdetails auf eine Aktion.
    • Klicken Sie in den anderen Abschnitten auf das Blitz-Symbol , um das Menü Aktion zu öffnen und wählen Sie dann eine Aktion.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

Weitere Informationen zu Problembehebungsaktionen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Sie können die Vorfälle nach deren Überprüfung auch archivieren oder deren Status ändern. Weitere Informationen finden Sie unter Den Status von Vorfällen archivieren oder ändern.

Automatisierungsregeln hinzufügen

Sie können Automatisierungsregeln konfigurieren, damit diese automatisch ThreatSync-Aktionen für Sie durchführen. Beispielsweise könnten Sie eine Automatisierungsregel erstellen, um automatisch Dateien mit einem niedrigen Risikograd zu archivieren.

Wir empfehlen Ihnen, mit Ausnahme der Regeln in Bewährte Praktiken für ThreatSync, solange keine Automatisierungsregeln hinzuzufügen, bis Sie mit den verschiedenen Vorfallstypen vertraut sind, die in Ihrer Umgebung auftreten können, und mit den Problembehebungsaktionen, die Sie ausführen können.

So fügen Sie eine Automatisierungsregel hinzu (Subscriber-Konten):

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Wenn Sie als Service-Provider Ihrem eigenen Subscriber-Konto eine Automatisierungsregel hinzufügen möchten, wählen Sie im Kontomanager Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync.
    Die Seite Automatisierungsregeln wird geöffnet.
  1. Klicken Sie auf Automatisierungsregel hinzufügen.
    Die Seite Regel hinzufügen wird geöffnet.

Screen shot of the Add Policy page in ThreatSync

  1. Um die neue Regel zu aktivieren, klicken Sie auf den Schalter Aktiviert.
  2. Geben Sie einen Namen für Ihre Regel und etwaige Kommentare ein.
  3. Wählen Sie im Abschnitt Regeltyp aus der Dropdown-Liste Typ den Typ der Regel aus, die Sie erstellen möchten:
    • Remediation — Die Automatisierungsregel führt die vorgegebenen Problembehebungsaktionen für Vorfälle durch, die den Bedingungen entsprechen.
    • Archive — Die Automatisierungsregel ändert den Status von Vorfällen, die den Bedingungen entsprechen, zu Archiviert.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. Geben Sie im Abschnitt Bedingungen die Bedingungen an, die ein Vorfall erfüllen muss, damit diese Automatisierungsregel anwendbar ist:

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Vorfallstyp — Wählen Sie einen oder mehrere der folgenden Vorfallstypen:
      • Erweiterte Sicherheitsregel — Die Ausführung bösartiger Skripte und unbekannter Programme, die erweiterte Infektionstechniken nutzen.
      • Exploit — Angriffe, bei denen bösartiger Code eingeschleust werden soll, um Prozesse mit Schwachstellen auszunutzen.
      • Intrusion-Versuch — Ein Sicherheitsereignis, bei dem ein Angreifer versucht, einen nicht autorisierten Zugriff auf ein System zu erlangen.
      • IOA — Angriffsindikatoren (IOA) sind Indikatoren, bei denen es sich höchstwahrscheinlich um einen Angriff handelt.
      • Bösartige URL — Eine URL, die für die Verbreitung von Malware, wie beispielsweise Ransomware, erstellt wurde.
      • Bösartige IP — Eine IP-Adresse, die mit einer bösartigen Aktivität verknüpft ist.
      • Malware — Schadsoftware, deren Ziel es ist, Computersysteme zu schädigen, zu stören und unbefugt Zugriff darauf zu erlangen.
      • PUP — Potenziell unerwünschte Programme (PUPs), die eventuell installiert werden, wenn andere Software auf einem Computer installiert wird.
      • Virus — Bösartiger Code, der in Computersysteme eindringt.
      • Unbekanntes Programm — Das Programm wurde blockiert, weil es noch nicht von WatchGuard Endpoint Security klassifiziert wurde.

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • Gerätetyp — Wählen Sie einen oder mehrere der folgenden Gerätetypen:
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • Durchgeführte Aktionen — Wählen Sie eine oder mehrere dieser bei einem Vorfall durchgeführten Aktionen (nur Regeltyp Archive).
      • Verbindung blockiert — Verbindung ist blockiert.
      • Prozess blockiert — Prozess wurde von einem Endpoint-Gerät blockiert.
      • Gerät isoliert — Die Kommunikation mit dem Gerät ist blockiert.
      • Datei gelöscht — Die Datei wurde als Malware klassifiziert und gelöscht.
      • IP blockiert — Die Netzwerkverbindungen zu und von dieser IP-Adresse sind blockiert.
      • Prozess abgebrochen — Der Prozess wurde von einem Endpoint-Gerät beendet.

  2. Wählen Sie aus der Dropdown-Liste im Abschnitt Aktionen, ob Sie die angegebenen Aktionen ausführen oder verhindern wollen.
    • Perform (Ausführen) — ThreatSync führt die vorgegebenen Aktionen für neue Vorfälle aus, die den Regelbedingungen entsprechen.
    • Prevent (Verhindern) — ThreatSync verhindert die vorgegebenen Aktionen. Um eine Ausnahme für eine umfassendere Perform-Regel zu erstellen, können Sie eine Regel mit der Prevent-Aktion hinzufügen und höher einstufen, als die andere Regel in der Regelliste. Eine Regel mit der Aktion Prevent verhindert die manuelle Ausführung einer Aktion durch einen Operator nicht.
  1. Wählen Sie eine oder mehrere der folgenden Aktionen, um sie auszuführen bzw. zu verhindern:
    • Ursprungs-IP der Bedrohung blockieren (nur externe IPs) — Blockiert die mit dem Vorfall verknüpfte externe IP-Adresse. Wenn Sie diese Aktion auswählen, blockieren alle Fireboxen, bei denen ThreatSync im WatchGuard Cloud-Konto aktiviert ist, die Verbindungen zu und von der IP-Adresse.
    • Datei löschen — Löscht die gekennzeichnete Datei, die mit dem Vorfall verknüpft ist.
    • Gerät isolieren — Isoliert den Computer vom Netzwerk, um die Verbreitung der Bedrohung zu verhindern und die Exfiltration von vertraulichen Informationen zu blockieren.
    • Böswilligen Prozess abbrechen — Beendet einen Prozess, der mit dem Vorfall verknüpftes bösartiges Verhalten gezeigt hat.
    • Vorfall archivieren — Ändert den Vorfallsstatus zu Archiviert (nur Regeltyp Archive).

    2. Falls der Regeltyp Archive ist, wird die Aktion Vorfall archivieren automatisch ausgewählt und Sie können keine andere Aktion auswählen.

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. Klicken Sie auf Hinzufügen.
    Die neue Regel wird zur Regelliste hinzugefügt.

Service-Provider können Vorlagen für Automatisierungsregel erstellen, die mehrere Automatisierungsregeln enthalten, und diese dann den von ihnen verwalteten Konten zuweisen. Weitere Informationen finden Sie unter ThreatSync-Vorlagen für Automatisierungsregel verwalten (Service-Provider).

Related Topics

Über ThreatSync

Bewährte Praktiken für ThreatSync

Konfigurieren von ThreatSync

Überwachen von ThreatSync

ThreatSync-Benachrichtigungsrichtlinien konfigurieren