HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EPDR

Gilt für WatchGuard EPDR und Panda AD360.

Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard Endpoint Security (EPDR/AD360). Wir gehen davon aus, dass auf allen Endgeräten kein Third-Party AV/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core.

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer/Server, Blockieren von USB-Sticks,… werden hier nicht berücksichtigt*

Unser Konzept besteht aus drei Teilen / Haupt OUs:

  1. Audit-Mode (Basic-Security):
    Gruppe für die Erstinstallation/Roll-Out der Clients/Server. Der Basis-Schutz ist vorhanden, 100 % Klassifizierung der Prozesse und Applikationen wird durchgeführt. Alles Unbekannte wird nicht blockiert!
  2. Lock-Mode (Advanced-Security):
    Nach einer kurzen Audit-Phase (ca. 7 Tage) sollten alle Endgeräte in den Lock-Mode wechseln. Hier werden zusätzlich zu allen schädlichen Prozessen, ebenfalls unbekannte Prozesse gestoppt bis diese klassifiziert wurden.
  3. Lock-Mode (Full-Security)
    Final sollten sich alle Endgeräte in dieser Gruppe befinden. Zusätzlich zum Kern-Feature „Lock-Mode“ (100% Zero-Trust-Mechanismus) werden hier weitere Security-Features aktiviert (z. B. Anti-Exploit-Protection, Schutz vor Netzwerkangriffen,…).
Vorgehen:

1. Computer -> Meine Organisation:

2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):

3. Die OUs müssen mit den entsprechenden Sicherheitseinstellungen/Profilen verknüpft werden:

Sicherheitseinstellungen/Profile:
1. Audit-Mode
(Basic-Security)
2. Lock-Mode
(Advanced-Security)
3. Lock-Mode
(Full-Security)
Beschreibung AV, Audit-Mode, Anti-Exploit (Audit), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Prüfen) AV, Lock-Mode, Anti-Exploit (Audit), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Prüfen) AV, Lock-Mode, Anti-Exploit (Block), Decoy-Files, Web-Access-Control, Schutz vor Netzwerkangriffen (Blockieren)
Allgemein
Lokale Warnungen
Warnungen zu Malware, Firewall und Gerätekontrolle anzeigen

 

 

Jedes Mal einen Alarm anzeigen, wenn die Webzugriffskontrolle eine Seite blockiert

 

 

 

Updates
Automatische Wissensaktualisierung
Bei jeder Wissensaktualisierung einen Scan im Hintergrund ausführen
Andere Sicherheitsprodukte deinstallieren
Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten)
Von Scans ausgeschlossene Dateien und Pfade
Erweiterter Schutz      
Erweiterter Schutz
Betriebsmodus (nur Windows) Audit Lock Lock
Blockierung den Computerbenutzern melden
Computerbenutzern die Möglichkeit zur Ausführung unbekannter blockierter Programme geben (nur für fortgeschrittene Benutzer oder Administratoren empfohlen)
Schädliche Aktivität erkennen (nur Linux) Prüfen Blockieren Blockieren
Anti-Exploit
Betriebsmodus (nur Windows) Prüfen Prüfen Blockieren
Blockierung dem Computerbenutzer melden
Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen Fällen zu Datenverlust führen)
Schutz vor Netzwerkangriffen
(ab Version 4.30.00)
Betriebsmodus (nur Windows) Prüfen Prüfen Blockieren
Privatsphäre
Name und vollständigen Pfad der Dateien, auf die schädliche Programme zugreifen, abrufen und in der Konsole anzeigen
Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen
Netzwerkauslastung
Maximale Anzahl an MB, die in einer Stunde übertragen werden können (0 unbegrenzt): 0 0 0
Virenschutz      
Datei-Virenschutz
E-Mail-Virenschutz
Webbrowsing-Virenschutz
Zu erkennende Bedrohungen
Viren erkennen
Hacker-Tools und PUPs erkennen
Schädliche Aktionen blockieren
Phishing erkennen
Keine Bedrohungen für die folgenden Adressen und Domänen erkennen:
Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00)
Dateitypen
Komprimierte Dateien in E-Mails scannen
Komprimierte Dateien auf dem Laufwerk scannen (nicht empfohlen)
Alle Dateien bei Erstellung oder Änderung unabhängig von ihrer Erweiterung scannen (nicht empfohlen)
Firewall (Windows Computer) Windows Firewall via GPO Windows Firewall via GPO Windows Firewall via GPO
Gerätesteuerung (Windows-Computer)      
Gerätesteuerung aktivieren Erlauben/Zulassen Erlauben/Zulassen Erlauben/Zulassen
Webzugriffskontrolle      
Webzugriffskontrolle aktivieren
Immer aktiviert
Zugriff auf Seiten verweigern, die als unbekannt eingestuft wurden
Zugriff auf folgende Adressen und Domänen immer verweigern:
Verweigern / Blocken:
Erweiterter Schutz – Neue Exploits
Erweiterter Schutz – Verdächtiger Inhalt
Erweiterter Schutz – Erhöhte Expositionen
Prüfmodus

 

Wichtiger Hinweis:

Bei jedem Versionsupdate werden unter Umständen neue Sicherheitsfeatures wie z. B. Schutz vor Netzwerkangriffen (Blockieren) etc. in allen bestehenden Sicherheitseinstellungen (Profilen) scharfgeschaltet. Deshalb sollten Sie nach jedem Versionsupdate Ihre Einstellungen prüfen und ggfs. anpassen.

Release Notes zu den einzelnen Versionsupdates finden Sie unter >> Endpoint Security Release Notes oder >> Adaptive Defense 360 Release Notes.

1 Kommentare zu “HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EPDR”

Leave a Reply

Your email address will not be published. Required fields are marked *