HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core
Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard EDR Core. Das Produkt EDR Core (enthalten in der Total Security Suite der WatchGuard Firewall Appliance) ist der Nachfolger von >> Threat Detection and Response (TDR), welches am 30.09.2023 End-of-Life geht. Die komplette Feature-Liste von EDR Core können Sie im WatchGuard HelpCenter unter >> WatchGuard EDR Core Features nachlesen.
In unserem vorherigen Blog-Artikel beschreiben wir unsere >> BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security (EPDR/AD360).
*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung bspw. non-persistente Computer/Server,… werden hier nicht berücksichtigt*
Voraussetzungen
Da EDR Core zum vorhandenen Third-Party AV/Endpoint Schutz installiert wird, müssen folgende Verzeichnisse als Ausnahme zum bestehenden Endpoint hinzugefügt werden. Zusätzlich müssen auch Exceptions von Ihrem Endpoint bei EDR Core hinterlegt werden. Entnehmen Sie die notwendigen Ausnahmen aus der Dokumentation von Ihrem 3rd Party AV-Produkt. Die Anti-Exploit Technologie darf nur auf einer Endpoint Lösung aktiviert sein. Weitere Informationen finden Sie dazu in der WatchGuard KnowledgeBase unter >> Are Endpoint Security products compatible with third-party antivirus and EDR solutions?.
Notwendige 3rd Party AV Exclusions:
- EDR Core / Windows:
- %programfiles%\Panda Security
- %programfiles(x86)%\Panda Security
- %allusersprofile%\Panda Security
- EDR Core / MacOS:
- /Library/Application Support/Management Agent/
- /Library/Application Support/Endpoint Protection/
- /Applications/Management-Agent.app/
- /Applications/Endpoint-Protection.app/
Unser Konzept besteht aus zwei Teilen / Haupt OUs:
- Audit-Mode (Basic-Security):
Gruppe für die Erstinstallation/Roll-Out der Clients/Server. 100 % Klassifizierung der Prozesse und Applikationen wird durchgeführt. Alles Unbekannte wird nicht blockiert! - Block-Mode (Advanced-Security):
Final, nach einer kurzen Audit-Phase (ca. 7 Tage) sollten sich alle Endgeräte in dieser Gruppe befinden. Hier werden Security-Features (z. B. Anti-Exploit-Protection2, Schutz vor Netzwerkangriffen,…) aktiviert.
Vorgehen:
1. Computer -> Meine Organisation:
2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):
3. Die OUs müssen mit den entsprechenden Sicherheitseinstellungen/Profilen verknüpft werden:
Sicherheitseinstellungen / Profile:
| 1. Audit-Mode (Basic-Security) |
2. Block-Mode (Advanced-Security) |
|
| Bescheibung | Decoy-Files, Anti-Exploit (Audit), Schädliche Aktivität (Audit), Schutz vor Netzwerkangriffen (Audit) | Decoy-Files, Anti-Exploit (Block), Schädliche Aktivität (Block), Schutz vor Netzwerkangriffen (Block) |
| Allgemein | ||
| Updates | ||
| Automatische Wissensaktualisierung |  |
|
| Andere Sicherheitsprodukte deinstallieren | ||
| Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten) | – | – |
| Von Scans ausgeschlossene Dateien und Pfade | 3rd Party AV Exclusions | 3rd Party AV Exclusions |
| Erweiterter Schutz | ||
| Erweiterter Schutz | |
|
| Verhalten | ||
| Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00) | ¹ |
¹ |
| Schädliche Aktivität erkennen (nur Linux) | Prüfen | Blockieren |
| Anti-Exploit | ² |
² |
| Betriebsmodus (nur Windows) | Prüfen | Blockieren |
| Blockierung dem Computerbenutzer melden | – | |
| Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen Fällen zu Datenverlust führen) | – | – |
| Schutz vor Netzwerkangriffen (ab Version 4.30.00) |
|
|
| Betriebsmodus (nur Windows) | Prüfen | Blockieren |
| Privatsphäre | ||
| Name und vollständigen Pfad der Dateien, auf die schädliche Programme zugreifen, abrufen und in der Konsole anzeigen | |
|
| Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen | |
|
| Netzwerkauslastung | ||
| Maximale Anzahl an MB, die in einer Stunde übertragen werden können (0 unbegrenzt): | 0 | 0 |
| Prüfmodus | – | – |
¹ = Durch den Scan von Third-Party AV/EDR Lösungen können Performanceprobleme in Verbindung mit EDR Core Decoy-Files entstehen. Bei Leistungseinschränkungen sollten die Decoy-Files im EDR Core abgeschaltet werden. Decoy-Files sollten nur in einer Endpoint-Lösung aktiviert sein.
² = Anti-Exploit Technologie darf nur in einer Endpoint-Lösung aktiviert sein.
Fazit:
EDR Core bietet einen guten adaptiven Schutz zu bestehender 3rd-Party Antiviren Software und ist der erste Schritt in Richtung ThreatSync (XDR). Um das Maximum an Security nutzen zu können, empfehlen wir WatchGuard EPDR. Mit EPDR profitieren Sie von dem 100% Zero Trust Security Mechanismus und Zusatzmodulen wie Patch Management, Full-Encryption, Advanced Reporting Tool oder Data Control. Die vollständige Produktmatrix von WatchGuard Endpoint Security finden Sie in dem Datenblatt >>WatchGuard Endpoint Security Produktmatrix (.pdf).
Wichtige Hinweise:
- Die Anzahl der verfügbaren EDR Core Lizenzen summiert sich aus den vorhandenen Total-Security Fireboxen im WatchGuard Account. Die mitgelieferten Lizenzen je Firewall können Sie der >> Firebox-Produktmatrix nachlesen.
- Bei jedem Versionsupdate werden unter Umständen neue Sicherheitsfeatures wie z. B. Schutz vor Netzwerkangriffen (Blockieren) etc. in allen bestehenden Sicherheitseinstellungen (Profilen) scharfgeschaltet. Deshalb sollten Sie nach jedem Versionsupdate Ihre Einstellungen prüfen und ggfs. anpassen.
Die Release Notes zu den einzelnen Versionsupdates finden Sie unter >> EDR Core (Total Security Suite) Release Notes.
HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security - BOC IT-Security GmbH