HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security Elite (Advanced EPDR) / 360 (EPDR)
Alle Tags (360 AD360 Advanced EPDR Best Practices BOC Best Practices Elite Empfehlungen Endpoint Security EPDR WatchGuard Endpoint Security WatchGuard-Endpoint)
Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR) und Panda AD360 (Letzte Aktualisierung 02.04.26 / Neue Endpoint Version 4.70.00 / Aether 19).
Hinweis:
Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.
| Bisheriger Produktname | Neuer Produktname (ab 1. April) |
| WatchGuard Advanced EPDR | WatchGuard Endpoint Security Elite |
| WatchGuard EPDR | WatchGuard Endpoint Security 360 |
Weitere Informationen dazu finden Sie in unserem Blog-Artikel >> WatchGuard benennt Endpoint-Produkte ab 1. April um.
Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard Endpoint Security Elite / 360. Wir gehen davon aus, dass auf allen Endgeräten kein Third-Party AV/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core.
*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer/Server, Blockieren von USB-Sticks,… werden hier nicht berücksichtigt*
Unser Konzept besteht aus drei Teilen / Haupt OUs:
- Learning-Mode (Basic-Security):
Gruppe für die Erstinstallation/Roll-Out der Clients/Server. Der Basis-Schutz ist vorhanden, 100 % Klassifizierung der Prozesse und Applikationen wird durchgeführt. Alles Unbekannte wird nicht blockiert! - Lock-Mode (Advanced-Security):
Nach einer kurzen Audit-Phase (ca. 7 Tage) sollten alle Endgeräte in den Lock-Mode wechseln. Hier werden zusätzlich zu allen schädlichen Prozessen, ebenfalls unbekannte Prozesse gestoppt bis diese klassifiziert wurden. - Lock-Mode (Full-Security)
Final sollten sich alle Endgeräte in dieser Gruppe befinden. Zusätzlich zum Kern-Feature „Lock-Mode“ (100% Zero-Trust-Mechanismus) werden hier weitere Security-Features aktiviert (z. B. Anti-Exploit-Protection, Schutz vor Netzwerkangriffen,…).
Vorgehen:
1. Computer -> Meine Organisation:
2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):
3. Die OUs müssen mit den entsprechenden Sicherheitseinstellungen/Profilen verknüpft werden:
Sicherheitseinstellungen/Profile:
Hinweis: Seit dem 1. April 2026 heißt der Audit-Mode nun Learning-Mode.
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Beschreibung | 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
Allgemein
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Allgemein | |||
| Lokale Warnungen | |||
| Warnungen zu Malware, Firewall und Gerätekontrolle anzeigen |  |
|
|
| Jedes Mal einen Alarm anzeigen, wenn die Webzugriffskontrolle eine Seite blockiert | |
|
|
| Updates | |||
| Automatische Wissensaktualisierung | |
|
|
| Bei jeder Wissensaktualisierung einen Scan im Hintergrund ausführen | – | – | – |
| Andere Sicherheitsprodukte deinstallieren | |||
| Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten) | |
|
|
| Privatsphäre | |||
| Name und vollständigen Pfad der Dateien, auf die schädliche Programme zugreifen, abrufen und in der Konsole anzeigen | |
|
|
| Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen | |
|
|
| Netzwerkauslastung | |||
| Maximale Anzahl an MB, die in einer Stunde übertragen werden können (0 unbegrenzt): | 0 | 0 | 0 |
| Von Scans ausgeschlossene Dateien und Pfade | – | – | – |
Zero-Trust Application Service
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Zero-Trust Application Service | |||
| Zero-Trust Application Service | |
|
|
| Betriebsmodus (nur Windows) | Learning | Lock | Lock |
| Blockierung den Computerbenutzern melden | – | |
|
| Computerbenutzern die Möglichkeit zur Ausführung unbekannter blockierter Programme geben (nur für fortgeschrittene Benutzer oder Administratoren empfohlen) | – | – | – |
| Schädliche Aktivität erkennen (nur Linux) | Learning | Blockieren | Blockieren |
Virenschutz
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Virenschutz | |||
| Datei-Virenschutz | |
|
|
| E-Mail-Virenschutz | – | – | – |
| Webbrowsing-Virenschutz | |
|
|
| Zu erkennende Bedrohungen | |||
| Viren erkennen | |
|
|
| Hacker-Tools und PUPs erkennen | |
|
|
| Schädliche Aktionen blockieren | |
|
|
| Phishing erkennen | |
|
|
| Keine Bedrohungen für die folgenden Adressen und Domänen erkennen: | – | – | – |
| Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00) | |
|
|
| AMSI (ab Version 4.40.00) | |||
| Erweitertes Scannen mit AMSI aktivieren | |
|
|
| Dateitypen | |||
| Komprimierte Dateien in E-Mails scannen | |
|
|
| Komprimierte Dateien auf dem Laufwerk scannen (nicht empfohlen) | – | – | – |
| Alle Dateien bei Erstellung oder Änderung unabhängig von ihrer Erweiterung scannen (nicht empfohlen) | – | – | – |
Anti-Exploit
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Anti-Exploit | |||
| Codeeinfügung | |
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
| Blockierung dem Computerbenutzer melden | – | – | |
| Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen Fällen zu Datenverlust führen) | – | – | – |
| Anfälliger Treiber (ab Version 4.40.00) | |||
| Treiber mit Sicherheitslücken erkennen | |
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
Schutz vor Netzwerkangriffen
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Schutz vor Netzwerkangriffen | |||
| Schutz vor Netzwerkangriffen (ab Version 4.30.00) |
|
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
Erweiterte Sicherheitsrichtlinien (nur bei Endpoint Security Elite)
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Erweiterte Sicherheitsrichtlinien (nur bei Endpoint Security Elite) | |||
| Erweiterte Sicherheitsrichtlinien | |
|
|
| PowerShell mit verborgenen Parametern | Prüfen | Prüfen | Blockieren |
| Vom Benutzer ausgeführtes PowerShell | Prüfen | Prüfen | Prüfen1 |
| Unbekannte Skripte | Prüfen | Prüfen | Prüfen1 |
| Lokal kompilierte Programme | Prüfen | Prüfen | Blockieren1 |
| Dokumente mit Makros | Prüfen | Prüfen | Prüfen1 |
| Bei Windows-Start auszuführende Registry-Änderung | Nicht erkennen | Nicht erkennen | Nicht erkennen |
1 = Die folgenden Settings müssen je nach Kundenumgebung und Ereignisse der Learning-Phase individuell bestimmt werden. Wir empfehlen bei Abweichungen eine Untergruppe zu definieren. Bsp. "3. Lock-Mode - DEVELOPER (Full-Security)"
-
- Vom Benutzer ausgeführtes PowerShell: Im Regelfall für Standard-User nicht nötig
- Unbekannte Skripte / Lokal kompilierte Programme: Bei Development-Maschinen -> Prüfen
- Dokumente mit Makros: Je nach Kundenumgebung. Wenn möglich -> Blockieren
Gerätesteuerung (Windows-Computer)
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Gerätesteuerung (Windows-Computer) | |||
| Gerätesteuerung aktivieren | Erlauben/Zulassen | Erlauben/Zulassen | Erlauben/Zulassen |
| AutoPlay auf Wechseldatenträgern deaktivieren (ab Version 4.50.00) | |
|
|
Webzugriffskontrolle
| 1. Learning-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Webzugriffskontrolle | |||
| Webzugriffskontrolle aktivieren | |
|
|
| Immer aktiviert | |
|
|
| Zugriff auf Seiten verweigern, die als unbekannt eingestuft wurden | – | – | – |
| Zugriff auf folgende Adressen und Domänen immer verweigern: | – | – | – |
| Verweigern / Blocken: | |||
| Erweiterter Schutz - Neue Exploits | |
|
|
| Erweiterter Schutz - Verdächtiger Inhalt | |
|
|
| Erweiterter Schutz - Erhöhte Expositionen | |
|
|
Wichtiger Hinweis:
Bei jedem Versionsupdate werden unter Umständen neue Sicherheitsfeatures wie z. B. Schutz vor Netzwerkangriffen etc. in allen bestehenden Sicherheitseinstellungen (Profilen) scharfgeschaltet. Deshalb sollten Sie nach jedem Versionsupdate Ihre Einstellungen prüfen und ggfs. anpassen. Wir empfehlen bei neuen Features immer den Modus auf “Prüfen” zu stellen. Nach einer kurzen Test-Phase können die Settings entsprechend der obigen Tabelle gesetzt werden.
Bsp.: Beim Versionsupdate auf 4.40.00 kam das Feature “Anfällige Treiber” hinzu. Wir empfehlen in allen 3 Sicherheitsprofilen (1. Learning-Mode, 2./3. Lock-Mode) den Betriebsmodus für das neue Feature auf “Prüfen” zu stellen. Sollten nach einer kurzen Testphase keine False-Positives auftauchen, können die Einstellungen aus der Best-Practice-Tabelle übernommen werden.
Zusätzlich empfehlen wir immer den kontrollierten Upgrade-Prozess. Weitere Informationen hierzu finden Sie unter >> HOWTO: WatchGuard Endpoint Security – Kontrollierter Upgrade-Prozess.
Release Notes zu den einzelnen Versionsupdates finden Sie unter >> Endpoint Security Release Notes oder >> Adaptive Defense 360 Release Notes.
HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core - BOC IT-Security GmbH