HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core

Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard EDR Core (Letzte Aktualisierung 30.09.2024.). Das Produkt EDR Core (enthalten in der Total Security Suite der WatchGuard Firewall Appliance) ist der Nachfolger von >> Threat Detection and Response (TDR), welches am 30.09.2023 End-of-Life geht. Die komplette Feature-Liste von EDR Core können Sie im WatchGuard HelpCenter unter >> WatchGuard EDR Core Features nachlesen.

In unserem vorherigen Blog-Artikel beschreiben wir unsere >> BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security (EPDR/AD360).

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung bspw. non-persistente Computer/Server,… werden hier nicht berücksichtigt*

Voraussetzungen

Da EDR Core zum vorhandenen Third-Party AV/Endpoint Schutz installiert wird, müssen folgende Verzeichnisse als Ausnahme zum bestehenden Endpoint hinzugefügt werden. Zusätzlich müssen auch Exceptions von Ihrem Endpoint bei EDR Core hinterlegt werden. Entnehmen Sie die notwendigen Ausnahmen aus der Dokumentation von Ihrem 3rd Party AV-Produkt. Die Anti-Exploit Technologie darf nur auf einer Endpoint Lösung aktiviert sein. Weitere Informationen finden Sie dazu in der WatchGuard KnowledgeBase unter >> Are Endpoint Security products compatible with third-party antivirus and EDR solutions?.

Notwendige 3rd Party AV Exclusions:
  1. EDR Core / Windows:
  • %programfiles%\Panda Security
  • %programfiles(x86)%\Panda Security
  • %allusersprofile%\Panda Security
  1. EDR Core / MacOS:
  • /Library/Application Support/Management Agent/
  • /Library/Application Support/Endpoint Protection/
  • /Applications/Management-Agent.app/
  • /Applications/Endpoint-Protection.app/
Unser Konzept besteht aus zwei Teilen / Haupt OUs:
  1. Audit-Mode (Basic-Security):
    Gruppe für die Erstinstallation/Roll-Out der Clients/Server. 100 % Klassifizierung der Prozesse und Applikationen wird durchgeführt. Alles Unbekannte wird nicht blockiert!
  2. Block-Mode (Advanced-Security):
    Final, nach einer kurzen Audit-Phase (ca. 7 Tage) sollten sich alle Endgeräte in dieser Gruppe befinden. Hier werden Security-Features (z. B. Anti-Exploit-Protection2, Schutz vor Netzwerkangriffen,…) aktiviert.

Vorgehen:

1. Computer -> Meine Organisation:

2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):

3. Die OUs müssen mit den entsprechenden Sicherheitseinstellungen/Profilen verknüpft werden:

Sicherheitseinstellungen/Profile:

1. Audit-Mode
(Basic-Security)
2. Block-Mode
(Advanced-Security)
Bescheibung Decoy-Files, AMSI, Anti-Exploit (Audit), Anfällige Treiber (Prüfen), Schädliche Aktivität (Audit), Schutz vor Netzwerkangriffen (Audit) Decoy-Files, AMSI, Anti-Exploit (Block), Anfällige Treiber (Blockieren), Schädliche Aktivität (Block), Schutz vor Netzwerkangriffen (Block)
Allgemein
1. Audit-Mode
(Basic-Security)
2. Block-Mode
(Advanced-Security)
Allgemein
Updates
Automatische Wissensaktualisierung
Andere Sicherheitsprodukte deinstallieren
Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten) -
Von Scans ausgeschlossene Dateien und Pfade 3rd Party AV Exclusions 3rd Party AV Exclusions
Erweiterter Schutz
1. Audit-Mode
(Basic-Security)
2. Block-Mode
(Advanced-Security)
Erweiterter Schutz    
Erweiterter Schutz
Verhalten
Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00) ¹ ¹
Schädliche Aktivität erkennen (nur Linux) Prüfen Blockieren
AMSI (ab Version 4.40.00)
Erweitertes Scannen mit AMSI aktivieren
Anti-Exploit²
Codeeinfügung² ² ²
Betriebsmodus (nur Windows) Prüfen Blockieren
Blockierung dem Computerbenutzer melden
Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen Fällen zu Datenverlust führen)
Anfälliger Treiber (ab Version 4.40.00)
Treiber mit Sicherheitslücken erkennen
Betriebsmodus (nur Windows) Prüfen Blockieren
Schutz vor Netzwerkangriffen
(ab Version 4.30.00)
Betriebsmodus (nur Windows) Prüfen Blockieren
Privatsphäre
Name und vollständigen Pfad der Dateien, auf die schädliche Programme zugreifen, abrufen und in der Konsole anzeigen
Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen
Netzwerkauslastung
Maximale Anzahl an MB, die in einer Stunde übertragen werden können (0 unbegrenzt): 0 0

¹ = Durch den Scan von Third-Party AV/EDR Lösungen können Performanceprobleme in Verbindung mit EDR Core Decoy-Files entstehen. Bei Leistungseinschränkungen sollten die Decoy-Files im EDR Core abgeschaltet werden. Decoy-Files sollten nur in einer Endpoint-Lösung aktiviert sein.
² = Anti-Exploit Technologie (Codeeinfügung) darf nur in einer Endpoint-Lösung aktiviert sein.

Prüfmodus
1. Audit-Mode
(Basic-Security)
2. Block-Mode
(Advanced-Security)
Prüfmodus

Fazit:

EDR Core bietet einen guten adaptiven Schutz zu bestehender 3rd-Party Antiviren Software und ist der erste Schritt in Richtung ThreatSync (XDR). Um das Maximum an Security nutzen zu können, empfehlen wir WatchGuard EPDR. Mit EPDR profitieren Sie von dem 100% Zero Trust Security Mechanismus und Zusatzmodulen wie Patch Management, Full-Encryption, Advanced Reporting Tool oder Data Control. Die vollständige Produktmatrix von WatchGuard Endpoint Security finden Sie in dem Datenblatt >>WatchGuard Endpoint Security Produktmatrix (.pdf).

Wichtige Hinweise:

  • Die Anzahl der verfügbaren EDR Core Lizenzen summiert sich aus den vorhandenen Total-Security Fireboxen im WatchGuard Account. Die mitgelieferten Lizenzen je Firewall können Sie der >> Firebox-Produktmatrix nachlesen.
  • Bei jedem Versionsupdate werden unter Umständen neue Sicherheitsfeatures wie z. B. Schutz vor Netzwerkangriffen etc. in allen bestehenden Sicherheitseinstellungen (Profilen) scharfgeschaltet. Deshalb sollten Sie nach jedem Versionsupdate Ihre Einstellungen prüfen und ggfs. anpassen. Wir empfehlen bei neuen Features immer den Modus auf “Prüfen” zu stellen. Nach einer kurzen Test-Phase können die Settings entsprechend der obigen Tabelle gesetzt werden.Bsp.: Beim Versionsupdate auf 4.40.00 kam das Feature “Anfällige Treiber”. Wir empfehlen in allen 2 Sicherheitsprofilen (1. Audit-Mode, 2. Block-Mode) den Betriebsmodus für das neue Feature auf “Prüfen” zu stellen. Sollten nach einer kurzen Testphase keine False-Positives auftauchen, können die Einstellungen aus der Best-Practice-Tabelle übernommen werden.
  • Zusätzlich empfehlen wir immer den kontrollierten Upgrade-Prozess. Weitere Informationen hierzu finden Sie unter >> Endpoint Security-Upgrade-Prozess.

Die Release Notes zu den einzelnen Versionsupdates finden Sie unter >> EDR Core (Total Security Suite) Release Notes.

1 Kommentare zu “HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core”

Leave a Reply

Your email address will not be published. Required fields are marked *