HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core
Alle Tags (Aether Best Practices BOC Best Practices EDR Core Empfehlungen TDR ThreatSync Total Security Suite XDR)
Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard EDR Core (Letzte Aktualisierung 02.04.2026 / Neue Endpoint Version 4.70.00 / Aeather 19). Das Produkt EDR Core (enthalten in der Total Security Suite der WatchGuard Firewall Appliance) ist der Nachfolger von >> Threat Detection and Response (TDR), welches am 30.09.2023 End-of-Life ging. Die komplette Feature-Liste von EDR Core können Sie im WatchGuard HelpCenter unter >> WatchGuard EDR Core Features nachlesen.
Hinweis:
Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.
| Bisheriger Produktname | Neuer Produktname (ab 1. April) |
| WatchGuard EDR Core | unverändert |
Weitere Informationen dazu finden Sie in unserem Blog-Artikel >> WatchGuard benennt Endpoint-Produkte ab 1. April um.
In unserem vorherigen Blog-Artikel beschreiben wir unsere >> BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security Elite (Advanced EPDR) / 360 (EPDR).
*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung bspw. non-persistente Computer/Server,… werden hier nicht berücksichtigt*
Voraussetzungen
Da EDR Core zum vorhandenen Third-Party AV/Endpoint Schutz installiert wird, müssen folgende Verzeichnisse als Ausnahme zum bestehenden Endpoint hinzugefügt werden. Zusätzlich müssen auch Exceptions von Ihrem Endpoint bei EDR Core hinterlegt werden. Entnehmen Sie die notwendigen Ausnahmen aus der Dokumentation von Ihrem 3rd Party AV-Produkt. Die Anti-Exploit Technologie darf nur auf einer Endpoint Lösung aktiviert sein. Weitere Informationen finden Sie dazu in der WatchGuard KnowledgeBase unter >> Are Endpoint Security products compatible with third-party antivirus and EDR solutions?.
Notwendige 3rd Party AV Exclusions:
- EDR Core / Windows:
- %programfiles%\Panda Security
- %programfiles(x86)%\Panda Security
- %allusersprofile%\Panda Security
- EDR Core / MacOS:
- /Library/Application Support/Management Agent/
- /Library/Application Support/Endpoint Protection/
- /Applications/Management-Agent.app/
- /Applications/Endpoint-Protection.app/
Unser Konzept besteht aus zwei Teilen / Haupt OUs:
- Learning-Mode (Basic-Security):
Gruppe für die Erstinstallation/Roll-Out der Clients/Server. 100 % Klassifizierung der Prozesse und Applikationen wird durchgeführt. Alles Unbekannte wird nicht blockiert! - Block-Mode (Advanced-Security):
Final, nach einer kurzen Audit-Phase (ca. 7 Tage) sollten sich alle Endgeräte in dieser Gruppe befinden. Hier werden Security-Features (z. B. Anti-Exploit-Protection2, Schutz vor Netzwerkangriffen,…) aktiviert.
Vorgehen:
1. Computer -> Meine Organisation:
2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):
3. Die OUs müssen mit den entsprechenden Sicherheitseinstellungen/Profilen verknüpft werden:
Sicherheitseinstellungen/Profile:
Hinweis: Seit dem 1. April 2026 heißt der Audit-Mode nun Learning-Mode.
| 1. Learning-Mode (Basic-Security) |
2. Block-Mode (Advanced-Security) |
|
| Bescheibung | 1. Learning-Mode (Basic-Security) |
2. Block-Mode (Advanced-Security) |
Allgemein
| 1. Learning-Mode (Basic-Security) |
2. Block-Mode (Advanced-Security) |
|
| Allgemein | ||
| Updates | ||
| Automatische Wissensaktualisierung |  |
|
| Andere Sicherheitsprodukte deinstallieren | ||
| Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten) | – | – |
| Privatsphäre | ||
| Name und vollständigen Pfad der Dateien, auf die schädliche Programme zugreifen, abrufen und in der Konsole anzeigen | |
|
| Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen | |
|
| Netzwerkauslastung | ||
| Maximale Anzahl an MB, die in einer Stunde übertragen werden können (0 unbegrenzt): | 0 | 0 |
| Von Scans ausgeschlossene Dateien und Pfade | 3rd Party AV Exclusions | 3rd Party AV Exclusions |
Zero-Trust Application Service
| 1. Learning-Mode (Basic-Security) |
2. Block-Mode (Advanced-Security) |
|
| Zero-Trust Application Service | ||
| Zero-Trust Application Service | |
|
| Verhalten | ||
| Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00)1 | 1 |
1 |
| Schädliche Aktivität erkennen (nur Linux) | Learning | Blockieren |
| AMSI (ab Version 4.40.00) | ||
| Erweitertes Scannen mit AMSI aktivieren | |
|
1 = Durch den Scan von Third-Party AV/EDR Lösungen können Performanceprobleme in Verbindung mit EDR Core Decoy-Files entstehen. Bei Leistungseinschränkungen sollten die Decoy-Files im EDR Core abgeschaltet werden. Decoy-Files sollten nur in einer Endpoint-Lösung aktiviert sein.
Anti-Exploit2
| 1. Learning-Mode (Basic-Security) |
2. Block-Mode (Advanced-Security) |
|
| Anti-Exploit2 | ||
| Codeeinfügung2 | 2 |
2 |
| Betriebsmodus (nur Windows) | Prüfen | Blockieren |
| Blockierung dem Computerbenutzer melden | – | |
| Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen Fällen zu Datenverlust führen) | – | – |
| Anfälliger Treiber (ab Version 4.40.00) | ||
| Treiber mit Sicherheitslücken erkennen | |
|
| Betriebsmodus (nur Windows) | Prüfen | Blockieren |
2 = Anti-Exploit Technologie (Codeeinfügung) darf nur in einer Endpoint-Lösung aktiviert sein.
Fazit:
EDR Core bietet einen guten adaptiven Schutz zu bestehender 3rd-Party Antiviren Software und ist der erste Schritt in Richtung ThreatSync (XDR). Um das Maximum an Security nutzen zu können, empfehlen wir WatchGuard EPDR. Mit EPDR profitieren Sie von dem 100% Zero Trust Security Mechanismus und Zusatzmodulen wie Patch Management, Full-Encryption, Advanced Reporting Tool oder Data Control. Die vollständige Produktmatrix von WatchGuard Endpoint Security finden Sie in dem Datenblatt >>WatchGuard Endpoint Security Produktmatrix (.pdf).
Wichtige Hinweise:
- Die Anzahl der verfügbaren EDR Core Lizenzen summiert sich aus den vorhandenen Total-Security Fireboxen im WatchGuard Account. Die mitgelieferten Lizenzen je Firewall können Sie der >> Firebox-Produktmatrix nachlesen.
- Bei jedem Versionsupdate werden unter Umständen neue Sicherheitsfeatures wie z. B. Schutz vor Netzwerkangriffen etc. in allen bestehenden Sicherheitseinstellungen (Profilen) scharfgeschaltet. Deshalb sollten Sie nach jedem Versionsupdate Ihre Einstellungen prüfen und ggfs. anpassen. Wir empfehlen bei neuen Features immer den Modus auf “Prüfen” zu stellen. Nach einer kurzen Test-Phase können die Settings entsprechend der obigen Tabelle gesetzt werden. Bsp.: Beim Versionsupdate auf 4.40.00 kam das Feature “Anfällige Treiber”. Wir empfehlen in allen 2 Sicherheitsprofilen (1. Learning-Mode, 2. Block-Mode) den Betriebsmodus für das neue Feature auf “Prüfen” zu stellen. Sollten nach einer kurzen Testphase keine False-Positives auftauchen, können die Einstellungen aus der Best-Practice-Tabelle übernommen werden.
- Zusätzlich empfehlen wir immer den kontrollierten Upgrade-Prozess. Weitere Informationen hierzu finden Sie unter >> HOWTO: WatchGuard Endpoint Security – Kontrollierter Upgrade-Prozess.
Die Release Notes zu den einzelnen Versionsupdates finden Sie unter >> EDR Core (Total Security Suite) Release Notes.
HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security - BOC IT-Security GmbH