HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EPDR
Gilt für WatchGuard EPDR und Panda AD360.
Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard Endpoint Security (EPDR/AD360). Wir gehen davon aus, dass auf allen Endgeräten kein Third-Party AV/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core.
*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer/Server, Blockieren von USB-Sticks,… werden hier nicht berücksichtigt*
Unser Konzept besteht aus drei Teilen / Haupt OUs:
- Audit-Mode (Basic-Security):
Gruppe für die Erstinstallation/Roll-Out der Clients/Server. Der Basis-Schutz ist vorhanden, 100 % Klassifizierung der Prozesse und Applikationen wird durchgeführt. Alles Unbekannte wird nicht blockiert! - Lock-Mode (Advanced-Security):
Nach einer kurzen Audit-Phase (ca. 7 Tage) sollten alle Endgeräte in den Lock-Mode wechseln. Hier werden zusätzlich zu allen schädlichen Prozessen, ebenfalls unbekannte Prozesse gestoppt bis diese klassifiziert wurden. - Lock-Mode (Full-Security)
Final sollten sich alle Endgeräte in dieser Gruppe befinden. Zusätzlich zum Kern-Feature „Lock-Mode“ (100% Zero-Trust-Mechanismus) werden hier weitere Security-Features aktiviert (z. B. Anti-Exploit-Protection, Schutz vor Netzwerkangriffen,…).
Vorgehen:
1. Computer -> Meine Organisation:
2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):
3. Die OUs müssen mit den entsprechenden Sicherheitseinstellungen/Profilen verknüpft werden:
Sicherheitseinstellungen/Profile:
| 1. Audit-Mode (Basic-Security) |
2. Lock-Mode (Advanced-Security) |
3. Lock-Mode (Full-Security) |
|
| Beschreibung | AV, Audit-Mode, Anti-Exploit (Audit), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Prüfen) | AV, Lock-Mode, Anti-Exploit (Audit), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Prüfen) | AV, Lock-Mode, Anti-Exploit (Block), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Blockieren) |
| Allgemein | |||
| Lokale Warnungen | |||
| Warnungen zu Malware, Firewall und Gerätekontrolle anzeigen |  |
|
|
| Jedes Mal einen Alarm anzeigen, wenn die Webzugriffskontrolle eine Seite blockiert |
|
|
|
| Updates | |||
| Automatische Wissensaktualisierung | |
|
|
| Bei jeder Wissensaktualisierung einen Scan im Hintergrund ausführen | – | – | – |
| Andere Sicherheitsprodukte deinstallieren | |||
| Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten) | |
|
|
| Von Scans ausgeschlossene Dateien und Pfade | – | – | – |
| Erweiterter Schutz | |||
| Erweiterter Schutz | |
|
|
| Betriebsmodus (nur Windows) | Audit | Lock | Lock |
| Blockierung den Computerbenutzern melden | – | |
|
| Computerbenutzern die Möglichkeit zur Ausführung unbekannter blockierter Programme geben (nur für fortgeschrittene Benutzer oder Administratoren empfohlen) | – | – | – |
| Schädliche Aktivität erkennen (nur Linux) | Prüfen | Blockieren | Blockieren |
| Anti-Exploit | |
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
| Blockierung dem Computerbenutzer melden | – | |
|
| Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen Fällen zu Datenverlust führen) | – | – | – |
| Schutz vor Netzwerkangriffen (ab Version 4.30.00) |
|
|
|
| Betriebsmodus (nur Windows) | Prüfen | Prüfen | Blockieren |
| Privatsphäre | |||
| Name und vollständigen Pfad der Dateien, auf die schädliche Programme zugreifen, abrufen und in der Konsole anzeigen | |
|
|
| Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen | |
|
|
| Netzwerkauslastung | |||
| Maximale Anzahl an MB, die in einer Stunde übertragen werden können (0 unbegrenzt): | 0 | 0 | 0 |
| Virenschutz | |||
| Datei-Virenschutz | |
|
|
| E-Mail-Virenschutz | – | – | – |
| Webbrowsing-Virenschutz | |
|
|
| Zu erkennende Bedrohungen | |||
| Viren erkennen | |
|
|
| Hacker-Tools und PUPs erkennen | |
|
|
| Schädliche Aktionen blockieren | |
|
|
| Phishing erkennen | |
|
|
| Keine Bedrohungen für die folgenden Adressen und Domänen erkennen: | – | – | – |
| Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00) | |
|
|
| Dateitypen | |||
| Komprimierte Dateien in E-Mails scannen | |
|
|
| Komprimierte Dateien auf dem Laufwerk scannen (nicht empfohlen) | – | – | – |
| Alle Dateien bei Erstellung oder Änderung unabhängig von ihrer Erweiterung scannen (nicht empfohlen) | – | – | – |
| Firewall (Windows Computer) | Windows Firewall via GPO | Windows Firewall via GPO | Windows Firewall via GPO |
| Gerätesteuerung (Windows-Computer) | |||
| Gerätesteuerung aktivieren | Erlauben/Zulassen | Erlauben/Zulassen | Erlauben/Zulassen |
| Webzugriffskontrolle | |||
| Webzugriffskontrolle aktivieren | |
|
|
| Immer aktiviert | |
|
|
| Zugriff auf Seiten verweigern, die als unbekannt eingestuft wurden | – | – | – |
| Zugriff auf folgende Adressen und Domänen immer verweigern: | – | – | – |
| Verweigern / Blocken: | |||
| Erweiterter Schutz – Neue Exploits | |
|
|
| Erweiterter Schutz – Verdächtiger Inhalt | |
|
|
| Erweiterter Schutz – Erhöhte Expositionen | |
|
|
| Prüfmodus | – | – | – |
Wichtiger Hinweis:
Bei jedem Versionsupdate werden unter Umständen neue Sicherheitsfeatures wie z. B. Schutz vor Netzwerkangriffen (Blockieren) etc. in allen bestehenden Sicherheitseinstellungen (Profilen) scharfgeschaltet. Deshalb sollten Sie nach jedem Versionsupdate Ihre Einstellungen prüfen und ggfs. anpassen.
Release Notes zu den einzelnen Versionsupdates finden Sie unter >> Endpoint Security Release Notes oder >> Adaptive Defense 360 Release Notes.
HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core - BOC IT-Security GmbH