0

  • Suche

  • Kategorie

  • Preis

    -
Support & Beratung

0800 2000 023

service@digitalwehr.de

Kostenloser Versand innerhalb Deutschlands

DIGITALWEHR - Wissensdatenbank

ThreatSync+ Best Practices: So nutzt du ThreatSync+ in deinem Managed Security Service

Frage
Was sind die Best Practices für Dienstanbieter, um ThreatSync+ in ihrem Managed Security Service zu betreiben?

 

 

 

Antwort
Wenn Sie ThreatSync+-Dienste in Ihren Managed Security Service integrieren, empfehlen wir Ihnen, einen Plan zu erstellen, um:

 

  • Stellen Sie den Dienst bereit.
  • Reagieren Sie auf Warnungen.
  • Verwenden Sie Berichte, um Ihren Kunden den strategischen Status und die Orientierung zu vermitteln.

 

Dieses Dokument unterstützt Sie bei der Entwicklung von Strategien zum Einrichten, Betreiben und Warten von ThreatSync+, um eine kostengünstige und effiziente Netzwerksicherheit zu gewährleisten.

 

 

Einsatz
Ähnlich wie Ihre Netzwerkarchitektur muss Ihr ThreatSync+-Bereitstellungsmodell für alle Ihre Kunden so konsistent wie möglich sein.

 

Wir empfehlen, dass Ihr Bereitstellungsplan die folgenden Schritte umfasst:

 

  • Sammeln Sie Netzwerktelemetrie.
  • Wählen Sie ThreatSync+-Richtlinien zum Aktivieren und Konfigurieren aus.
  • Konfigurieren Sie Benachrichtigungen für kritische Warnungen, die Sie erhalten möchten.
  • Konfigurieren Sie Berichte für Ihre Kunden und Analysten.

 

 

Erfassen von Netzwerktelemetriedaten
ThreatSync+ erfasst Telemetriedaten Ihres Netzwerkverkehrs, um Transparenz und Bedrohungserkennung zu gewährleisten. Die Telemetriedaten stammen aus WatchGuard Firebox-Verkehrsprotokollen, NetFlow-Protokollen oder sFlow-Protokollen.

 

Verkehrsprotokolle, NetFlow und sFlow sind Formen von Flussprotokollen. Sie liefern zusammenfassende Daten Ihres Netzwerkverkehrs und identifizieren, welche Geräte Daten senden und über welche IP-Ports diese Daten senden. Diese Protokolle enthalten viele Informationen, verursachen aber im Vergleich zur Überwachung, Speicherung und Analyse vollständiger Netzwerkpakete nur einen sehr geringen Aufwand.

 

Nord-Süd-Verkehr ist der Verkehr durch Ihre Internet-Firewall (ein- und ausgehender Internetverkehr). Die Überwachung dieses Verkehrs ist entscheidend, um Command-and-Control-Bedrohungen, Datenexfiltration und nicht autorisierten Verkehr zu erkennen. Ost-West-Verkehr ist der Verkehr innerhalb Ihres Unternehmens, wenn Ihre Geräte miteinander kommunizieren. Die Überwachung dieses Verkehrs ist entscheidend, um Bedrohungen durch Sondierung, Aufklärung und Lateral Movement zu erkennen.

 

Wenn Sie verschiedene Netzwerkarchitekturen einsetzen oder Ihren Managed Service auf dem bestehenden Netzwerk Ihrer Kunden aufbauen, benötigen Sie verschiedene ThreatSync+-Bereitstellungsansätze. Jedes verwendete Bereitstellungsmodell muss klar definiert und leicht wiederholbar sein.

 

Die nächsten Abschnitte enthalten Anleitungen zu den gängigsten Bereitstellungsmodellen für kleine und mittlere Unternehmen. Jedes Modell beschreibt, wie ThreatSync+ Datenfluss- und DHCP-Protokolle erfasst, um Transparenz und Bedrohungserkennung zu gewährleisten.

 

 

 

Fireboxen in kleinen Büros
ThreatSync+ unterstützt standardmäßig alle Firebox-Firewalls. Wenn Sie Ihre Lizenzen aktivieren, werden alle Fireboxen Ihres Kontos für ThreatSync+ NDR aktiviert und Telemetriedaten automatisch erfasst. Wenn Ihre Fireboxen Ihre DHCP-Server sind, werden auch DHCP-Telemetriedaten automatisch erfasst.

 

Wenn Sie Microsoft Windows DHCP-Server verwenden, müssen Sie den Windows DHCP Collection Agent und den ThreatSync+ NDR Collection Agent einsetzen, um die Protokolle zu sammeln und an die WatchGuard Cloud zu senden. Wenn Sie einen DHCP-Server eines Drittanbieters verwenden, können Ihre DHCP-Protokolle nicht gesammelt werden.

 

In kleinen Umgebungen kann diese Konfiguration ausreichend sein, um Ihre lokalen Standorte zu überwachen. ThreatSync+ bietet Einblick in den gesamten Datenverkehr der Firebox und umfasst:

 

  • Datenverkehr von allen Netzwerkgeräten zum und vom Internet.
  • Der gesamte interne Datenverkehr wird durch die Firewall geleitet. Wenn Sie Ihre Firebox als zentralen Backbone-Router verwenden, überwachen Sie automatisch die Aktivität zwischen Ihren gerouteten Subnetzen. Befinden sich Ihre Clients in einem Subnetz und Ihre Server in einem anderen, wobei die Firebox das Routing dazwischen übernimmt, überwachen Sie bereits den kritischen Ost-West-Verkehr und benötigen möglicherweise keinen lokalen Agenten.

 

 

Firewalls anderer Anbieter
Firewalls von Drittanbietern müssen NetFlow- oder sFlow-Protokolle generieren können. Um diese Protokolle zu sammeln und an die WatchGuard Cloud weiterzuleiten, benötigen Sie den ThreatSync+ NDR Collection Agent. Kleine Umgebungsarchitekturen für Firewalls anderer Anbieter ähneln der Firebox. Der NetFlow der Firewall liefert Protokolle für den gesamten Nord-Süd-Verkehr und den intern gerouteten Ost-West-Verkehr.

 

Um diesen NetFlow zu erfassen, setzen Sie den ThreatSync+ NDR Collection Agent ein. Der Agent kann auf einer Linux- (Ubuntu 24.04) oder Windows-Plattform (Windows 10, Windows 11 oder Windows Server 2022) ausgeführt werden. Weitere Informationen finden Sie im Hilfecenter unter „Über ThreatSync+ NDR Collectors“ .

 

Wenn Ihr Kunde über Microsoft Windows DHCP-Server verfügt, stellen Sie den Windows DHCP Collector bereit und leiten Sie diese über den ThreatSync+ NDR Collection Agent weiter.

 

 

Traditionelles Core-Network-Switching
Größere Organisationen implementieren möglicherweise eine zentrale Switching-Schicht, üblicherweise mit großen Switches von Cisco oder einem ähnlichen Anbieter. Diese Konfigurationen umfassen häufig eine große Anzahl von VLANs. Um diesen NetFlow zu erfassen, setzen Sie den ThreatSync+ NDR Collection Agent ein. Der Agent kann auf einer Linux- (Ubuntu 24.04) oder Windows-Plattform (Windows 10, Windows 11 oder Windows Server 2022) ausgeführt werden.

 

Wenn Ihr Kunde über Microsoft Windows DHCP-Server verfügt, stellen Sie den Windows DHCP Collector bereit und leiten Sie diese über den ThreatSync+ NDR Collection Agent weiter.

 

Wenn die zentrale Switching-Struktur den gesamten Datenverkehr am Unternehmensstandort abdeckt, ist eine Überwachung an der Firewall möglicherweise nicht erforderlich, da dieser Datenverkehr in den zentralen Switches erfasst wird. Normalerweise verfügen diese Architekturen über Switches der zweiten Ebene, um alle Client- und Server-Endpunkte zu bedienen. In den meisten Fällen ist die Überwachung im zentralen Bereich ausreichend. Wenn es kritische Bereiche gibt, in denen die Überwachung lokaler lateraler Aktivitäten wichtig ist, lesen Sie den Abschnitt „Größere Niederlassungen mit kritischen Serverressourcen“.

 

 

Größere Büros mit kritischen Serverressourcen
Wenn ein Unternehmen über kritische Geräte verfügt, die besondere Aufmerksamkeit erfordern, kann es sinnvoll sein, alle zugehörigen Verkehrsprotokolle zu erfassen. Dazu müssen Sie NetFlow von den untergeordneten Switches im Unternehmen erfassen. Leiten Sie dazu diese NetFlow-Protokolle an Ihren ThreatSync+ NDR Collection Agent weiter. ThreatSync+ ist intelligent genug, um doppelte Verkehrsprotokolle zu filtern.

 

 

Unmanaged Switches
Viele große und kleine Unternehmen verfügen über nicht verwaltete Switches, meist aus Kostengründen, zur Nutzung alter Geräte oder aufgrund von Unternehmensfusionen. Diese befinden sich meist am Rand des Netzwerks und dienen der Verbindung von Clients oder der Bereitstellung von WLAN-Umgebungen. NetFlow wird von diesen Switches in der Regel nicht unterstützt. Falls dies der Fall ist, behandeln Sie sie wie im Abschnitt „Größere Niederlassungen mit kritischen Serverressourcen“ beschrieben.

 

Wenn die Switches sFlow unterstützen, konfigurieren Sie sie so, dass sie sFlow-Protokolle an den ThreatSync+ NDR Collection Agent senden, um die Aktivität zu überwachen. sFlow liefert einen Teil der Telemetrieinformationen der NetFlow- oder Firebox-Verkehrsprotokolle. Es sorgt für Transparenz im Netzwerk und identifiziert, welche Geräte angeschlossen sind und wie viel Datenverkehr sie senden. Es verfügt jedoch nicht über die umfassende Telemetrie von NetFlow und ist bei der Bedrohungserkennung weniger effektiv. Da Sie jedoch die Effektivität der NetFlow- oder Firebox-Verkehrsprotokolle mit sFlow-Protokollen kombinieren können, erzielen Sie eine hohe Zuverlässigkeit der Geräteaktivität im Internet, jedoch eine geringere Zuverlässigkeit des Ost-West-Verkehrs innerhalb des nicht verwalteten Switches.

 

Einige nicht verwaltete Switches, die NetFlow oder sFlow nicht unterstützen, ermöglichen die Konfiguration eines Switched Port Analyzer (SPAN) oder Mirror-Ports, um den gesamten Switch-Verkehr zu duplizieren. Dieser SPAN-Port kann mit einer im WatchMode betriebenen Firebox verbunden werden, um Firebox-Verkehrsprotokolle für den Switch zu generieren.

 

In einer Drittanbieterkonfiguration mit nicht verwalteten Switches und einem Router, der keinen NetFlow generieren kann, empfehlen wir, die Firewall durch eine Firebox zu ersetzen. Ist dies nicht möglich, besteht eine Möglichkeit darin, eine Firebox im Bridge-Modus parallel zur Firewall zu platzieren und Verkehrsprotokolle für den gesamten Verkehr zu erstellen, der die Firewall passiert.

 

 

 

ThreatSync+-Dienstkonfiguration
Nachdem Sie nun Verkehrsprotokolle erfassen, können Sie ThreatSync+ so konfigurieren, dass der Datenverkehr analysiert wird, Sie vor Bedrohungen gewarnt werden und Berichte erstellt werden.

 

 

 

Netzwerkfilterung
Möglicherweise gibt es Teile des Kundennetzwerks, die Sie nicht überwachen möchten.

 

Wenn Sie Gastnetzwerke oder private Netzwerke haben, die von Ihren Unternehmensnetzwerken isoliert sind, aber Ihre Firewall gemeinsam nutzen, sollten Sie diese ausschließen. Seien Sie beim Ausschließen von Subnetzen sehr vorsichtig, da diese Angreifern weiterhin Angriffspunkte bieten können.

 

Wenn Sie eine Testversion für einen Kunden einrichten, möchten Sie diese möglicherweise auf einen bestimmten Netzwerkbereich beschränken. Um diese Konfigurationen in der ThreatSync+-Benutzeroberfläche einzurichten, verwenden Sie die Einstellungen für Subnetze und Organisationen, um bestimmten IP-Adressbereichen Bezeichnungen zuzuweisen und sie zum Ausschluss oder Einschluss zu kennzeichnen. Weitere Informationen finden Sie unter Konfigurieren von Subnetzen und Organisationen.

 

 

Richtlinienwarnungen
ThreatSync+ verfügt über eine Vielzahl integrierter Richtlinien, die Bedrohungen in Ihrem Netzwerk erkennen und auf unbefugte Aktivitäten überwachen. Zusätzlich können Sie benutzerdefinierte Richtlinien konfigurieren. Um unnötige Warnmeldungen zu vermeiden, ist es wichtig, die gewünschten Richtlinientypen auszuwählen. ThreatSync+ ist zunächst mit einer begrenzten Anzahl aktiver Richtlinien konfiguriert. Diese sind mit der Bezeichnung „Level 1“ gekennzeichnet und stellen für die meisten Kunden eine gute Ausgangsbasis dar.

 

Entwickeln Sie in Ihrem Plan zunächst eigene Richtlinien und aktivieren Sie nur diese. Berücksichtigen Sie bei der Auswahl Ihrer Richtlinien Folgendes:

 

Welche Netzwerkaktivitäten stufen Sie als bedrohlich ein?
Wovor versprechen Sie, Ihre Kunden zu schützen?
Welche Best Practices empfehlen Sie Ihren Kunden?

Berücksichtigen Sie diese Fragen, wenn Sie Ihre ersten Richtlinien entwickeln und diese für alle Kunden bereitstellen. Wenn Sie nicht sicher sind, welche Richtlinien Sie aktivieren sollen, beginnen Sie mit den Richtlinien der Stufe 1 und passen Sie diese im Laufe der Zeit an, wenn Sie mehr darüber erfahren, was Sie überwachen und wo Sie Ihren Kunden einen Mehrwert bieten können.

 

Manche Kunden haben möglicherweise besondere Umstände. Wenn Sie bereit sind, diese zu berücksichtigen, suchen Sie nach zusätzlichen integrierten Richtlinien oder erstellen Sie benutzerdefinierte Richtlinien, die Sie für andere Kunden wiederverwenden können. Weitere Informationen finden Sie im Hilfe-Center unter „Richtlinienwarnungen“. Dort finden Sie auch Strategien für die Reaktion auf jede Richtlinienwarnung.

 

 

Benachrichtigungen
ThreatSync+ generiert zwei Arten von Warnungen:

 

  • Intelligente Warnungen – Intelligente Warnungen zeigen an, dass ThreatSync+ verdächtiges Netzwerkverhalten erkannt hat, das auf einen Angreifer in Ihrem Netzwerk hindeuten könnte. Weitere Informationen finden Sie im Hilfe-Center unter „Informationen zu intelligenten Warnungen“ .
  • Richtlinienwarnungen : Richtlinienwarnungen werden generiert, wenn Aktivitäten gegen eine von Ihnen zur Überwachung ausgewählte Netzwerkzugriffsrichtlinie verstoßen. Weitere Informationen finden Sie im Hilfe-Center unter „Informationen zu Richtlinienwarnungen“.

 

Benachrichtigungen werden per E-Mail versendet. Sie können mit HTML- oder JSON-Inhalten formatiert werden, damit Ihr Service-Management-System oder SIEM sie problemlos verarbeiten kann. WatchGuard empfiehlt, für alle Smart Alerts Benachrichtigungen zu generieren. Wir empfehlen, Benachrichtigungen für Richtlinienwarnungen nur dann zu konfigurieren, wenn diese Verstöße kritische Risiken darstellen.

 

Um Benachrichtigungen zu konfigurieren, wählen Sie die zu aktivierenden Warnungen in den ThreatSync+-Konfigurationseinstellungen aus und konfigurieren Sie die E-Mail-Nachrichten und -Ziele in den Administrationseinstellungen. Weitere Informationen finden Sie im Hilfecenter unter „Konfigurieren von ThreatSync+-Warnungen und Benachrichtigungsregeln“ .

 

 

Berichte
Wir empfehlen Ihnen, diese ThreatSync+-Berichte einzurichten:

 

  • Zusammenfassender Bericht
  • Verteidigungszielberichte
  • Dienstanbieterbericht

 

Zusammenfassender Bericht
Der ThreatSync+ Executive Summary-Bericht bietet eine Gesamtbedrohungsbewertung für Ihr Netzwerk und detaillierte Kennzahlen, die Ihnen helfen, Ihr Risiko zu verstehen.

 

Wir empfehlen Ihnen, die Einstellungen für den Executive Summary-Bericht so zu konfigurieren , dass dieser Bericht wöchentlich an Sie selbst und an jeden Ihrer Kunden gesendet wird.

 

Beginnen Sie mit der Standardkonfiguration für diesen Bericht. Enthält der Bericht Kennzahlen, die für Ihren Kundenservice unwichtig oder ungeeignet sind, können Sie diese entfernen. Die Berichtsplanung ermöglicht Ihnen die erstmalige Einrichtung für jeden Kunden und erfordert keine laufende Wartung.

 

 

Verteidigungszielberichte
Ein Netzwerkverteidigungsziel ist eine Sammlung von Verteidigungszielen, die um einen bestimmten Präventionsbereich herum organisiert sind. Jedes Verteidigungsziel besteht aus einer Reihe von Kontrollen, die aktiviert und überwacht werden sollten, um Angriffe zu verhindern. Planen Sie Berichte für die wöchentliche Zustellung an Ihre Kunden und an sich selbst.

 

Wir empfehlen, jedem Kunden den Bericht zu den Ransomware-Abwehrzielen zuzusenden. Er enthält Steuerelemente für jede Richtlinie der Stufe 1. Konfigurieren Sie die Abwehrziele so, dass nur die von Ihnen aktivierten Richtlinien angezeigt werden. Weitere Informationen finden Sie im Hilfe-Center unter „Verwalten von Netzwerk-Abwehrzielen “. Wenn Sie WatchGuard Compliance Reporting lizenziert haben, um auf zusätzliche Compliance-Berichte für Ihre Kunden zuzugreifen, empfehlen wir Ihnen, diese ebenfalls zu konfigurieren.

 

Hinweis : Wenn Sie einen Compliance-Framework-Bericht verwenden, müssen Sie den Bericht zum Verteidigungsziel der Ransomware-Prävention nicht bereitstellen, da die Compliance-Framework-Berichte Obermengen des Ransomware-Berichts darstellen.

 

 

Zusammenfassender Bericht zum Managed Security Service Provider (MSSP)
Der Managed Security Service Provider (MSSP)-Zusammenfassungsbericht richtet sich an Service Provider. Er enthält eine Zusammenfassung der Bedrohungsbewertungen für jeden von Ihnen betreuten Kunden. Planen Sie die wöchentliche Erstellung dieses Berichts ein und senden Sie ihn an Ihr Team. Der Bericht fasst die Bewertungen für jeden Kunden zusammen, sodass Sie leicht erkennen können, wo die größten Risiken liegen.

 

Die Informationen in diesem Bericht sind auch in jedem Executive Summary Report enthalten, sodass Ihre Kunden diese Informationen weiterhin einsehen können. Weitere Informationen finden Sie im Managed Security Service Provider (MSSP)-Bericht .

 

 

Geräte- und Subnetzerkennung und -konfiguration
ThreatSync+ unterstützt Sie bei der Erkennung und Kennzeichnung Ihrer Netzwerkgeräte und Subnetze. Beim Identifizieren und Kennzeichnen von Geräten und Subnetzen ist es wichtig, Rollen und Tags zuzuweisen, die in Richtlinien verwendet werden, sowie Kennzeichnungen, die die Erkennung von Geräten und Subnetzen in der Benutzeroberfläche und in Berichten erleichtern.

 

Obwohl Sie diese Konfiguration und Kennzeichnung nicht im Voraus vornehmen müssen, empfehlen wir Ihnen dies, da es die Erkennung von Bedrohungen und die Verwendung der ThreatSync+-Benutzeroberfläche und -Berichte erleichtert.

 

Wir empfehlen Folgendes:

 

Identifizieren und kennzeichnen Sie die Subnetze (IP-Adressbereiche) in Ihrem Kundennetzwerk. ThreatSync+ kennzeichnet nicht gekennzeichnete Subnetze als „Nicht vertrauenswürdig und privat“. So können Sie Aktivitäten in unbekannten Netzwerkbereichen leicht erkennen.

Innerhalb weniger Minuten können Sie Ihre Kundensubnetze kennzeichnen, entweder durch:

  1. Definieren Sie sie auf der Seite „Konfigurieren > ThreatSync+ > Subnetz und Organisationen“ .
  2. Akzeptieren Sie die von ThreatSync+ automatisch generierten Empfehlungen auf der Seite „Monitor > ThreatSync+ > Entdecken“ .

 

Identifizieren und kennzeichnen Sie kritische Geräte im Kundennetzwerk. Es gibt verschiedene Möglichkeiten, wichtige Geräte zu kennzeichnen:

  1. Verwenden Sie „Konfigurieren > ThreatSync+ > Geräte“, um einem bestimmten Gerät Namen, Tags, Rollen und eine Wichtigkeitsbewertung zuzuweisen.
  2. Importieren Sie eine Datei mit Namen, Tags, Rollen und einer Wichtigkeitsbewertung, um eine große Anzahl von Geräten zu kennzeichnen. Sie können diese Datei aus Ihrem Bestandsverwaltungssystem exportieren.
  3. Reagieren Sie auf ThreatSync+. Entdecken Sie Vorschläge zum Zuweisen von Namen, Tags, Rollen und einer Wichtigkeitsbewertung, wenn ThreatSync+ erkennt, dass ein Gerät Protokolle bereitstellt, die darauf hinweisen, dass es eine bestimmte Rolle spielt.

Wenn Sie zum Zeitpunkt der Bereitstellung möglichst viele Bezeichnungen vergeben möchten, können Sie Ihre Subnetze manuell identifizieren und Ihre Geräte dann importieren.

 

Um den Einrichtungsaufwand zu minimieren, integrieren Sie die Subnetz- und Gerätekennzeichnung in Ihre laufenden Wartungsarbeiten. Überprüfen Sie die Discover-Vorschläge wöchentlich und nehmen Sie sich ein paar Minuten Zeit, um wichtige Subnetze und Geräte hinzuzufügen. Weitere Informationen finden Sie im Hilfe-Center unter „Konfigurieren von Subnetzen und Organisationen“ und „ThreatSync+ NDR Asset Discovery“ .

 

 

Alarmreaktion
Als Sicherheitsdienstleister ist es wichtig, dass Sie zeitnah auf alle Bedrohungen reagieren, Ihre Reaktionsstrategien umsetzen und Art und Schweregrad der Warnung sorgfältig abwägen. Wir empfehlen Ihnen, Strategien für die Reaktion auf Smart Alerts, Richtlinienwarnungen und Erkennungsvorschläge zu entwickeln.

 

 

Reagieren Sie auf intelligente Warnungen
Smart Alerts zeigen an, dass ThreatSync+ verdächtiges Netzwerkverhalten erkannt hat, das auf einen Angreifer in Ihrem Netzwerk hindeuten könnte. Sie können per E-Mail oder über die ThreatSync+-Benutzeroberfläche über einen Smart Alert informiert werden.

 

Ihre Strategie zur Reaktion auf diese Warnungen sollte die folgenden Schritte umfassen:

 

  • Überprüfen Sie die zusammenfassenden Informationen zum Smart Alert.
  1. Identifizieren Sie den Hauptakteur und verstehen Sie, welche Rolle er im Kundennetzwerk spielt.
  2. Identifizieren Sie die Verhaltensweisen, um zu verstehen, welche Arten anomaler Aktivitäten aufgetreten sind.

 

  • Befolgen Sie die spezifischen Anweisungen für den Typ des aufgetretenen Smart Alerts.

 

  • Identifizieren Sie die Grundursache des Problems und ergreifen Sie die erforderlichen Abhilfemaßnahmen, darunter Schritte wie:
  1. Isolieren Sie den Hauptakteur.
  2. Beschränken Sie den Zugriff auf bösartige Internetstandorte.
  3. Kennzeichnen Sie die Aktionen als autorisiert.

 

  • Schließen Sie den Smart Alert. Bringen Sie Ihrem Team bei, Warnungen wie folgt zu klassifizieren:
  1. Ungewöhnlich und unbefugt – Dies wird als echte Bedrohung erkannt.
  2. Ungewöhnlich, aber autorisiert – Hierbei handelt es sich um eine ungewöhnliche Aktivität, wie etwa Sondierungs- und Aufklärungsaktivitäten oder Befehls- und Kontrollaktivitäten, die jedoch durch einen Penetrationstest oder eine andere autorisierte Quelle generiert wurde und nicht als Bedrohung eingestuft wird.
  3. Normale Aktivität – Dies ist die erwartete Aktivität einer autorisierten Anwendung. Sie sollte nicht als anormal angesehen werden. Wenn Sie diese Option zum Schließen eines Smart Alerts auswählen, sollte der Analyst ThreatSync+ zusätzliche Anweisungen geben, um ähnliche Aktivitäten in Zukunft zu ignorieren.

 

Weitere Informationen finden Sie unter „Smart Alert-Details überprüfen“ .

 

 

Reagieren Sie auf Richtlinienwarnungen
Richtlinienwarnungen weisen auf Aktivitäten hin, die gegen die von Ihnen überwachten Netzwerkzugriffsrichtlinien verstoßen. Richtlinienwarnungen sind zustandslos, d. h. sie werden bei erkannten Verstößen ausgelöst. Sie müssen nicht bestätigt werden.

 

Ihre Berichte enthalten alle Richtlinienwarnungen für den im Bericht enthaltenen Zeitraum. Die meisten Partner erstellen Berichte für ein- bis zweiwöchige Zeiträume. Sie können jedoch auch für Zeiträume von bis zu sechs Monaten erstellt werden.

 

Wenn Sie auf eine Richtlinienwarnung mit Korrekturmaßnahmen in Ihrem Netzwerk reagieren, bleiben die Warnungen aus der Vergangenheit bestehen. Sie spiegeln die tatsächliche Aktivität wider, gemessen an den während dieser Zeit aktiven Richtlinien. Sie können nicht ausgeblendet oder ignoriert werden.

 

WatchGuard bietet detaillierte Anleitungen zum Umgang mit jeder Richtlinie in ThreatSync+. Folgen Sie diesen Anweisungen, um die potenzielle Bedrohung zu verstehen, sie durch Netzwerk- oder Geräteänderungen zu beheben und die Richtliniendefinition bei Bedarf zu aktualisieren, um ThreatSync+ über Ausnahmen zu informieren.

 

Überwachen Sie in den ersten Wochen nach der Bereitstellung einer Richtlinie diese regelmäßig, um sicherzustellen, dass sie für Ihre Umgebung optimal geeignet ist. Der Leitfaden enthält Details zu den Optimierungsoptionen für jede Richtlinie.

 

Nachdem Ihre Richtlinien für Ihre Kunden optimiert wurden, ist die Reaktionszeit gering. Die meisten Kunden haben ähnliche Anforderungen und Optimierungsbedarf. Nachdem Sie zwei oder drei Kunden bereitgestellt und verwaltet haben, ist für weitere Kunden nur noch wenig Optimierung erforderlich. Weitere Informationen finden Sie unter „Richtlinienoptimierung“ im Hilfe-Center .

 

 

Auf Vorschläge zur Subnetzerkennung reagieren
Die Subnetzerkennung zeigt an, dass ein neuer IP-Adressbereich mit 24-Bit-Maske gefunden wurde, der mindestens 10 aktive Netzwerkgeräte enthält.

 

Der Subnetzerkennungsvorschlag empfiehlt Ihnen, das Subnetz zu kennzeichnen, damit Sie es leichter erkennen können, wenn ein Gerät in diesem Subnetz in einer Warnung enthalten ist. Außerdem wird die IP-Adresse aus dem standardmäßigen Organisationsnamen „Nicht vertrauenswürdiges privates“ entfernt und in eine Organisation mit dem neuen Namen eingefügt, den Sie beim Akzeptieren des Vorschlags angeben.

 

Überprüfen Sie diese Liste regelmäßig, um den Vorschlag für die Subnetze zu akzeptieren, die Sie erkennen.

 

 

Auf Vorschläge zur Geräteerkennung reagieren
Es gibt drei Arten von Vorschlägen zur Geräteerkennung:

 

  1. Im Netzwerk wird ein neues Gerät erkannt, das als Server für bestimmte Datenverkehrstypen fungiert. Benennen Sie es und weisen Sie ihm die vorgeschlagenen Rollen zu.
  2. Ein vorhandenes Gerät fungiert als Server für einen neuen Datenverkehrtyp. Weisen Sie die vorgeschlagene Rolle zu.
  3. Ein vorhandenes Gerät hat in letzter Zeit nicht als Server für eine ihm zugewiesene Rolle fungiert. Entfernen Sie die Rolle.

 

Strategische Beratung und Berichterstattung
Richten Sie in Ihrem Unternehmen Prozesse zur Überprüfung von ThreatSync+-Berichten ein. Jeder Bericht ist sowohl für Sie als auch für Ihre Kunden von besonderem Wert. Wenn Sie die Hinweise zur Verwendung der einzelnen Berichte befolgen, profitieren Ihre Kunden von regelmäßigem Feedback zum Zustand ihres Netzwerks und Empfehlungen zur Verbesserung der Sicherheit.

 

Vorteile:

  • Bietet ein klares Bild der Netzwerkintegrität Ihrer Kunden.
  • Demonstriert den Wert Ihres verwalteten Dienstes.
  • Bietet Möglichkeiten zur strategischen Beratung auf Grundlage von Bedrohungsfeststellungen.

 

Zusammenfassender Bericht zum Managed Security Service Provider (MSSP)
Beginnen Sie mit der Überprüfung des Managed Security Service Provider (MSSP)-Zusammenfassungsberichts mit Ihrem Team. Er enthält eine Zusammenfassung der Bedrohungsbewertungen für jeden von Ihnen betreuten Kunden. Er zeigt eine Reihe von Kennzahlen für jeden Kunden. Legen Sie anhand der Werte in diesem Bericht ein Mindestziel für Ihr Unternehmen fest.

 

Wir empfehlen:

  • Der Gesamtbedrohungswert für jedes Konto sollte nicht niedriger als die Note B sein.
  • Es sollte keine D- oder F-Noten geben.

 

Hinweis : Konten, die keine Netzwerktelemetrie erfassen, erhalten die Bewertung F. Für Neukunden, deren Bereitstellung noch nicht abgeschlossen ist, kann es im Bericht gelegentlich zu F-Bewertungen kommen.

 

Um Ihre Ergebnisse zu verbessern, erstellen Sie einen Standardplan. Wir empfehlen Ihnen, die folgenden Richtlinien zu befolgen:

 

Gesamtbedrohungsbewertung – Ihre Gesamtbedrohungsbewertung zeigt die allgemeine Netzwerkintegrität an und ist eine Zusammenfassung aller Bewertungen im Bericht. Um diese Bewertung zu verbessern, können Sie die Gewichtung der anderen Bewertungen konfigurieren. Weitere Informationen finden Sie unter „ Einstellungen für den Executive Summary-Bericht konfigurieren“ im Hilfecenter .

 

Smart Alerts – Dieser Wert berücksichtigt die Anzahl neuer Smart Alerts, die durchschnittliche Zeit bis zum Schließen und die Anzahl offener Smart Alerts im Berichtszeitraum. Um diesen Wert zu verbessern, sollten Sie Fehlalarme umgehend beheben und schließen, um die ThreatSync+ KI zu trainieren, schnell auf alle Warnungen zu reagieren und Benachrichtigungen für Smart Alerts einzurichten. Weitere Informationen finden Sie im Hilfe-Center unter „Über Smart Alerts“ .

 

Richtlinienwarnungen – Dieser Wert ist ein gewichteter Durchschnitt basierend auf der Anzahl der im Berichtszeitraum generierten Richtlinienwarnungen. Für die Bewertung „A“ dürfen durchschnittlich weniger als vier Warnungen pro Woche ausgegeben werden. Für die Bewertung „B“ dürfen durchschnittlich weniger als 12 Warnungen pro Woche ausgegeben werden. Die Anzahl der Richtlinienwarnungen wird nach der Wichtigkeit der Richtlinie gewichtet. Um den Wert der Richtlinienwarnungen zu verbessern, deaktivieren Sie Richtlinien, die nicht Ihren Netzwerkzugriffsrichtlinien entsprechen, optimieren Sie Ihre Richtlinien und weisen Sie Ihren Richtliniendefinitionen Wichtigkeitsstufen zu, damit weniger wichtige Richtlinienwarnungen diesen Wert weniger beeinflussen. Weitere Informationen finden Sie im Hilfe-Center unter „Informationen zu Richtlinienwarnungen“ .

 

Unbekannte Subnetze – Dieser Wert basiert auf dem Verhältnis der Anzahl neuer Vorschläge zur Erkennung unbekannter Subnetze zur Gesamtzahl der in Ihrem Netzwerk identifizierten Subnetze und Vorschläge. Um diesen Wert zu verbessern, reagieren Sie auf Subnetzvorschläge. Weitere Informationen finden Sie unter ThreatSync+ Asset Discovery im Hilfecenter .

 

Unbekannte Geräte – Dieser Wert basiert auf dem Verhältnis der Anzahl neuer Vorschläge zur Erkennung unbekannter Geräte zur Gesamtzahl der in Ihrem Netzwerk identifizierten Geräte und Vorschläge. Um diesen Wert zu verbessern, reagieren Sie unbedingt auf Gerätevorschläge. Weitere Informationen finden Sie unter ThreatSync+ Asset Discovery im Hilfe-Center .

 

 

Zusammenfassender Bericht
Der ThreatSync+ Executive Summary-Bericht bietet eine Gesamtbedrohungsbewertung für Ihr Netzwerk und detaillierte Kennzahlen, die Ihnen helfen, Ihr Risiko zu verstehen.

 

Die Kennzahlen im Bericht entsprechen denen im MSSP-Zusammenfassungsbericht (Managed Security Service Provider). Der Bericht enthält außerdem zusätzliche Details, die die Aufschlüsselung der Bewertung in kleinere Komponenten erleichtern. Senden Sie Ihren Kunden diesen Bericht wöchentlich. Sie können ihn auch als internes Messinstrument für das Sicherheitsteam, die Geschäftsleitung oder als Teil eines Pakets für den Vorstand verwenden.

 

Wir empfehlen, mit jedem Kunden regelmäßig den Bericht zu prüfen und Verbesserungsvorschläge zu unterbreiten – nicht nur, was Sie als Dienstanbieter für den Kunden tun können, sondern auch, was der Kunde tun sollte, um sein Netzwerk sicherer zu machen. Eine vierteljährliche Überprüfung mit einem leitenden Sponsor oder eine monatliche Überprüfung mit dem technischen Ansprechpartner ist hierfür ein guter Ansatz. Sie können für diese Überprüfungen monatliche und vierteljährliche Berichte erstellen und verteilen.

 

Um die Berichtsergebnisse zu verbessern, gehen Sie zum Abschnitt „Zusammenfassungsbericht des Managed Security Service Providers (MSSP).

 

 

Verteidigungszielberichte
Ein Netzwerkverteidigungsziel ist eine Sammlung von Verteidigungszielen, die jeweils einem bestimmten Präventionsbereich zugeordnet sind. Jedes Verteidigungsziel besteht aus einer Reihe von Kontrollen, die aktiviert und überwacht werden sollten, um Angriffe zu verhindern.

 

Wir empfehlen, dass jeder Kunde mindestens einen Defense Goal Report erhält. Wenn Ihr Kunde nur ThreatSync+ NDR und nicht WatchGuard Compliance Reporting erworben hat, empfehlen wir Ihnen, ihm den Defense Goal Report zur Ransomware-Prävention zuzusenden.

 

Wir empfehlen Ihnen, den Bericht wie einen Auditbericht zu behandeln. Arbeiten Sie mit dem Kunden zusammen, um dessen Netzwerksicherheit zu verbessern und seine Richtlinien anzupassen, damit er einen Bericht über die vollständige Einhaltung der Richtlinien ohne Verstöße erhält. Wenn Sie die Sicherheit Ihrer Kunden gemäß einem Security Compliance Framework verwalten, empfehlen wir Ihnen die Verwendung des WatchGuard Compliance Reportings. Damit erhalten Sie einen umfassenderen Bericht als den Ransomware Prevention Defense Goal Report, der sich an das spezifische Framework anpasst und zusätzliche Sicherheitskontrollen enthält.

 

Wählen Sie einen vorgefertigten Bericht wie ISO 27001, Cyber ​​Essentials, NIST-171 oder FFIEC. Oder erstellen Sie mit den Tools des Compliance Reporting-Produkts einen individuellen Bericht, der genau auf Ihre Anforderungen zugeschnitten ist.

Zurück zur Übersicht
Fragen Kategorien
Access Points Authentifizierung Endpoint Security Firebox Fireware ThreatSync VPN WatchGuard Cloud WatchGuard Dimension
Digitalwehr
Watchguard Infoportal
Zahlung & Versand

Europaweit versicherter Versand. Wir versenden alle Bestellungen versandkostenfrei innerhalb Deutschland!

DIGITALWEHR Teamviewer Support
Download