S'applique À : ThreatSync+ NDR
Pour disposer d'une visibilité sur votre réseau, vous pouvez surveiller le trafic IP sur tous les périphériques de votre réseau.
Les Fireboxes gérés sur le cloud et localement avec génération de rapports sur le cloud qui exécutent Fireware v12.10.3 et les versions ultérieures envoient automatiquement les données de trafic réseau à WatchGuard Cloud et ThreatSync+ NDR. Ce flux de données fournit les informations nécessaires à ThreatSync+ NDR pour identifier et détecter les menaces potentielles et les activités suspectes, telles que les mouvements latéraux, les tunnels DNS, les analyses rapides et lentes et l'exfiltration de données.
Pour les Fireboxes gérés localement avec le reporting cloud, vous devez configurer le Firebox de sorte qu'il envoie les messages de journal pour les rapports dans chaque stratégie. Pour de plus amples informations, accédez à Définir les préférences de Journalisation et de Notification dans l'Aide Fireware.
Pour les Fireboxes exécutant des versions antérieures de Fireware, les pare-feu tiers ou les commutateurs, vous pouvez utiliser des périphériques de collecte Windows ou Linux sur site, les collecteurs, pour surveiller le trafic réseau. Les collecteurs récupèrent des flux de données tels que NetFlow, sFlow ou les journaux du serveur DHCP Windows directement à partir des commutateurs et des pare-feu tiers puis les renvoient à WatchGuard Cloud via une connexion sécurisée. Ces flux de données incluent des informations sur le trafic qui circule via le commutateur ou le pare-feu vers les périphériques réseau.
À Propose des Agents de Collecte pour ThreatSync+ NDR
Pour installer et configurer des collecteurs sur des ordinateurs et des serveurs, vous devez d'abord télécharger et installer l'Agent WatchGuard, puis configurer les collecteurs pour ThreatSync+ NDR.
L'Agent de Collecte ThreatSync+ NDR reçoit les données de journal des commutateurs et des routeurs de votre réseau, les données DHCP de l'Agent de Journal Windows et les données des Fireboxes gérés localement et envoie les données à WatchGuard Cloud.
L'Agent de Collecte ThreatSync+ NDR écoute sur les ports suivants :
- Port 2055 pour les données de journal NetFlow des endpoints.
- Port 6343 pour les données du journal sFlow provenant des endpoints.
- Port 514 pour les données de journal DHCP de l'Agent de Journal Windows.
Agent de Collecte ThreatSync+ NDR pour Windows
Vous pouvez installer l'Agent de Collecte ThreatSync+ NDR sur les ordinateurs Windows qui exécutent Windows 10, Windows 11 ou Windows Server 2022.
Pour installer et configurer l'Agent WatchGuard et l'Agent de Collecte ThreatSync+ NDR pour Windows, accédez à Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Windows).
Agent de Collecte ThreatSync+ NDR pour Linux
Vous pouvez installer l'Agent de Collecte ThreatSync+ NDR sur des ordinateurs Linux exécutant Ubuntu 22.04 Server LTS ou 24.04 Server LTS.
Pour installer et configurer l'Agent WatchGuard et l'Agent de Collecte ThreatSync+ NDR pour Linux, accédez à Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Linux).
Agent de Journal Windows
L'Agent de Journal Windows est un agent de collecte qui lit les journaux du serveur DHCP Windows, puis les transmet à l'Agent de Collecte ThreatSync+ NDR. L'Agent de Collecte ThreatSync+ NDR transmet ensuite les journaux DHCP à WatchGuard Cloud.
Vous pouvez installer l'Agent de Journal Windows sur les serveurs Windows 2019 ou 2022. Certains de ces serveurs peuvent également être des contrôleurs de domaine.
Pour surveiller les périphériques lorsqu'ils changent d'adresse IP, nous vous recommandons d'utiliser l'Agent de Journal Windows pour collecter les journaux DHCP d'Active Directory. Ajoutez et configurez l'Agent de Journal Windows sur tous les serveurs DHCP.
Pour installer et configurer l'Agent de Journal Windows, accédez à Configurer l'Agent de Journal Windows.
Démarrage Rapide — Configurer ThreatSync+ NDR