HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Advanced EPDR / EPDR
Gilt für WatchGuard Advanced EPDR, EPDR und Panda AD360 (Letzte Aktualisierung 25.03.25 / gilt auch für die neue Endpoint Version 4.50.00).
Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard Endpoint Security (EPDR/AD360 sowie Advanced EPDR). Wir gehen davon aus, dass auf allen Endgeräten kein Third-Party AV/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core.
*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer/Server, Blockieren von USB-Sticks,… werden hier nicht berücksichtigt*
Unser Konzept besteht aus drei Teilen / Haupt OUs:
- Audit-Mode (Basic-Security):
Gruppe für die Erstinstallation/Roll-Out der Clients/Server. Der Basis-Schutz ist vorhanden, 100 % Klassifizierung der Prozesse und Applikationen wird durchgeführt. Alles Unbekannte wird nicht blockiert! - Lock-Mode (Advanced-Security):
Nach einer kurzen Audit-Phase (ca. 7 Tage) sollten alle Endgeräte in den Lock-Mode wechseln. Hier werden zusätzlich zu allen schädlichen Prozessen, ebenfalls unbekannte Prozesse gestoppt bis diese klassifiziert wurden. - Lock-Mode (Full-Security)
Final sollten sich alle Endgeräte in dieser Gruppe befinden. Zusätzlich zum Kern-Feature „Lock-Mode“ (100% Zero-Trust-Mechanismus) werden hier weitere Security-Features aktiviert (z. B. Anti-Exploit-Protection, Schutz vor Netzwerkangriffen,…).
Vorgehen:
1. Computer -> Meine Organisation:
2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):
3. Die OUs müssen mit den entsprechenden Sicherheitseinstellungen/Profilen verknüpft werden:
Sicherheitseinstellungen/Profile:
| 1. Audit-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Beschreibung | AV, AMSI, Audit-Mode, Anti-Exploit (Audit), Anfällige Treiber (Prüfen), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Prüfen) | AV, AMSI, Lock-Mode, Anti-Exploit (Audit), Anfällige Treiber (Prüfen), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Prüfen) | AV, AMSI, Lock-Mode, Anti-Exploit (Block), Anfällige Treiber (Blockieren), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Blockieren) |
Allgemein
| 1. Audit-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Allgemein | |||
| Lokale Warnungen | |||
| Warnungen zu Malware, Firewall und Gerätekontrolle anzeigen |  |
|
|
| Jedes Mal einen Alarm anzeigen, wenn die Webzugriffskontrolle eine Seite blockiert |
|
|
|
| Updates | |||
| Automatische Wissensaktualisierung | |
|
|
| Bei jeder Wissensaktualisierung einen Scan im Hintergrund ausführen | – | – | – |
| Andere Sicherheitsprodukte deinstallieren | |||
| Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten) | |
|
|
| Von Scans ausgeschlossene Dateien und Pfade | – | – | – |
Erweiterter Schutz
| 1. Audit-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Erweiterter Schutz | |||
| Erweiterter Schutz | |
|
|
| Betriebsmodus (nur Windows) | Audit | Lock | Lock |
| Blockierung den Computerbenutzern melden | – | |
|
| Computerbenutzern die Möglichkeit zur Ausführung unbekannter blockierter Programme geben (nur für fortgeschrittene Benutzer oder Administratoren empfohlen) | – | – | – |
| Schädliche Aktivität erkennen (nur Linux) | Prüfen | Blockieren | Blockieren |
| Erweiterte Sicherheitsrichtlinien (nur bei Advanced EPDR) | |
|
|
| PowerShell mit verborgenen Parametern | Prüfen | Prüfen | Blockieren |
| Vom Benutzer ausgeführtes PowerShell | Prüfen | Prüfen | Prüfen¹ |
| Unbekannte Skripte | Prüfen | Prüfen | Prüfen¹ |
| Lokal kompilierte Programme | Prüfen | Prüfen | Blockieren¹ |
| Dokumente mit Makros | Prüfen | Prüfen | Prüfen¹ |
| Bei Windows-Start auszuführende Registry-Änderung | Nicht erkennen | Nicht erkennen | Nicht erkennen |
| Anti-Exploit | |||
| Codeeinfügung | |
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
| Blockierung dem Computerbenutzer melden | – | |
|
| Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen Fällen zu Datenverlust führen) | – | – | – |
| Anfälliger Treiber (ab Version 4.40.00) |
|||
| Treiber mit Sicherheitslücken erkennen | |
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
| Schutz vor Netzwerkangriffen (ab Version 4.30.00) |
|
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
| Privatsphäre | |||
| Name und vollständigen Pfad der Dateien, auf die schädliche Programme zugreifen, abrufen und in der Konsole anzeigen | |
|
|
| Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen | |
|
|
| Netzwerkauslastung | |||
| Maximale Anzahl an MB, die in einer Stunde übertragen werden können (0 unbegrenzt): | 0 | 0 | 0 |
Virenschutz
| 1. Audit-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Virenschutz | |||
| Datei-Virenschutz | |
|
|
| E-Mail-Virenschutz | – | – | – |
| Webbrowsing-Virenschutz | |
|
|
| Zu erkennende Bedrohungen | |||
| Viren erkennen | |
|
|
| Hacker-Tools und PUPs erkennen | |
|
|
| Schädliche Aktionen blockieren | |
|
|
| Phishing erkennen | |
|
|
| Keine Bedrohungen für die folgenden Adressen und Domänen erkennen: | – | – | – |
| Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00) | |
|
|
| AMSI (ab Version 4.40.00) | |||
| Erweitertes Scannen mit AMSI aktivieren | |
|
|
| Dateitypen | |||
| Komprimierte Dateien in E-Mails scannen | |
|
|
| Komprimierte Dateien auf dem Laufwerk scannen (nicht empfohlen) | – | – | – |
| Alle Dateien bei Erstellung oder Änderung unabhängig von ihrer Erweiterung scannen (nicht empfohlen) | – | – | – |
Gerätesteuerung (Windows-Computer)
| 1. Audit-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Gerätesteuerung (Windows-Computer) | |||
| Gerätesteuerung aktivieren | Erlauben/Zulassen | Erlauben/Zulassen | Erlauben/Zulassen |
| AutoPlay auf Wechseldatenträgern deaktivieren (ab Version 4.50.00) | |
|
|
Webzugriffskontrolle
| 1. Audit-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Webzugriffskontrolle | |||
| Webzugriffskontrolle aktivieren | |
|
|
| Immer aktiviert | |
|
|
| Zugriff auf Seiten verweigern, die als unbekannt eingestuft wurden | – | – | – |
| Zugriff auf folgende Adressen und Domänen immer verweigern: | – | – | – |
| Verweigern / Blocken: | |||
| Erweiterter Schutz - Neue Exploits | |
|
|
| Erweiterter Schutz - Verdächtiger Inhalt | |
|
|
| Erweiterter Schutz - Erhöhte Expositionen | |
|
|
Fußnoten
- Die folgenden Settings müssen je nach Kundenumgebung und Ereignisse der Audit-Phase individuell bestimmt werden. Wir empfehlen bei Abweichungen eine Untergruppe zu definieren. Bsp. “3 Lock-Mode – DEVELOPER (Full-Security)”
- Vom Benutzer ausgeführtes PowerShell: Im Regelfall für Standard-User nicht nötig
- Unbekannte Skripte / Lokal kompilierte Programme: Bei Development-Maschinen -> Audit
- Dokumente mit Makros: Je nach Kundenumgebung. Wenn möglich -> Blockieren
Wichtiger Hinweis:
Bei jedem Versionsupdate werden unter Umständen neue Sicherheitsfeatures wie z. B. Schutz vor Netzwerkangriffen etc. in allen bestehenden Sicherheitseinstellungen (Profilen) scharfgeschaltet. Deshalb sollten Sie nach jedem Versionsupdate Ihre Einstellungen prüfen und ggfs. anpassen. Wir empfehlen bei neuen Features immer den Modus auf “Prüfen” zu stellen. Nach einer kurzen Test-Phase können die Settings entsprechend der obigen Tabelle gesetzt werden.
Bsp.: Beim Versionsupdate auf 4.40.00 kam das Feature “Anfällige Treiber” hinzu. Wir empfehlen in allen 3 Sicherheitsprofilen (1. Audit, 2./3. Lock-Mode) den Betriebsmodus für das neue Feature auf “Prüfen” zu stellen. Sollten nach einer kurzen Testphase keine False-Positives auftauchen, können die Einstellungen aus der Best-Practice-Tabelle übernommen werden.
Zusätzlich empfehlen wir immer den kontrollierten Upgrade-Prozess. Weitere Informationen hierzu finden Sie unter >> HOWTO: WatchGuard Endpoint Security – Kontrollierter Upgrade-Prozess.
Release Notes zu den einzelnen Versionsupdates finden Sie unter >> Endpoint Security Release Notes oder >> Adaptive Defense 360 Release Notes.
HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core - BOC IT-Security GmbH