Einrichten von Threat Detection and Response – Teil 2

In dieser Artikel-Serie (bestehend aus 5 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. (Dieser Artikel:) Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal
4. Weitere Hinweise zu TDR, Tipps und Tricks
5. Best Practices

Teil 2 (Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren)

Hier finden Sie Informationen über die Funktionsweise und Lizensierung von Threat Detection and Response.

Teil 2 – Einrichten von TDR auf der WatchGuard Firebox und Installation der Host-Sensoren

Einrichten von TDR auf der WatchGuard Firebox

Um TDR auf Ihrer Firebox zu aktivieren, sind folgende Schritte notwendig:

  1. Voraussetzung: Feature Key mit TDR Lizenz ist bereits auf der Firebox installiert.
  2. TDR Account auf der WatchGuard Website ist aktiviert – Anleitung siehe in diesem Artikel (Teil 1)
  3. Loggen Sie sich in Ihren Account auf der WatchGuard Website ein und von dort weiter zur TDR Cloud Website
  4. Gehen Sie zu CONFIGURATION => Host Sensor:
  5. Kopieren Sie Sich Ihre “Account ID” (langer Hex-Wert mit Trennstrichen) und Ihre “Controller Address” (die Zieladresse der TDR Instanz) heraus.
  6. Tragen Sie diese Daten in Ihre Firebox ein (über Web-UI oder Policy Manager, jeweils unter Subscription Services => Threat Detection:
        
  7. Speichern Sie die Änderung auf die Box.
  8. Hinweis: die Firebox erzeugt jetzt automatisch eine Paket-Filter Policy mit dem Namen Threat Detection and Response von Any-Trusted nach tdr-hsc-(eu|na).watchguard.com:443 . Diese Regel wird benötigt, damit die Host-Sensoren auf den lokalen PCs/Servern mit der WatchGuard TDR Cloud Website kommunizieren können. Diese Regel darf NICHT durch einen HTTPS-Proxy mit DPI ersetzt werden, da der Host-Sensor die Zertifikate der TDR Website explizit prüft und sonst Zugriffsfehler auftreten würden. Damit die FQDN-basierte Regel funktioniert, muss zudem sichergestellt sein, dass die WatchGuard Firebox unter Network > Configuration > WINS/DNS gültige/funktionierende DNS-Server eingetragen hat! Wenn Sie auch in den Zonen Any-Optional oder in Custom Netzen Geräte mit TDR Host-Sensoren betreiben, ergänzen Sie diese Regel entsprechend.
  9. Nun sollten Sie Ihre Firebox im TDR Web-Frontend unter DEVICES => Firebox aufgelistet sehen:

Installation der Host-Sensoren

Für die Installation der Host-Sensoren laden Sie sich den Installer für den Host-Sensor von der WatchGuard TDR Website herunter. Sie finden den Installer als Setup-Executable für Windows oder als RPM für RedHat Linux unter CONFIGURATION => Host Sensor. 

  1. Manuelle Installation:
    Während der Installation werden Sie nach der Account ID und der Controller Address (siehe oben) gefragt.
  2. Automatische Installation via CLI oder GPO:
    Sie können dem Setup-file auch per Command-Line Parameter übergeben:

    msiexec /i [host sensor msi file] /quiet AccountUUID=[Account ID] CONTROLLER_ADDRESS=[Controller Address]

    Beispiel (aus der WatchGuard Dokumentation):

    msiexec /i host_sensor_5.0.2.7180.msi /quiet AccountUUID=d4377396-ff5e-4a65-8518-4907d0492855 Controller_Address=tdr-hsc-eu.watchguard.com:443

    Diese Command-Line können Sie natürlich auch als Script per GPO verteilen.

  3. Optional/Alternativ: Installation mittels “AD Helper”:
    WatchGuard stellt ein “AD Helper Programm” zur Verfügung, das Sie auf einem einzelnen Rechner in Ihrer Windows-Domain installieren können. Dieser AD-Helper kommuniziert mit dem Active Directory und Ihrer TDR-Instanz und meldet alle Computer-Konten und Gruppen an die TDR Instanz. Über das Web-Frontend der TDR-Instanz können Sie dann eine Installation auf einem Client-Computer starten. Der AD-Helper erhält dann bei seinem nächsten Poll den Auftrag, den Host Sensor auf dem Client-PC zu Installieren. Er mountet das Laufwerk des Clients und führt dort die Installation durch. Genauere Informationen sowie die technischen Voraussetzungen dazu (Programme und AD-Rechte) finden Sie in der Dokumentation zum AD-Helper auf der TDR-Website.
  4. Nach dem Setup der Host-Sensoren sollten Sie diese im TDR Web-Frontend unter DEVICES => Hosts sehen:

In unserem Blog finden Sie einen HOWTO-Artikel zum Thema WatchGuard TDR und Windows Defender Exceptions via GPO.

4 Kommentare zu “Einrichten von Threat Detection and Response – Teil 2”

Leave a Reply

Your email address will not be published. Required fields are marked *