HOWTO: Erstinstallation/Grundsetup für ThreatSync Core in der WatchGuard Cloud

Comment

ThreatSync Core dient als zentrales Informationszentrum zur Überwachung und automatisierten Reaktion auf Sicherheitsvorfälle. Aktuell können Ereignisse von Fireboxen, Access Points, AuthPoint sowie Endpoint-Produkten verarbeitet werden. Durch die Korrelation dieser Daten wird die Erkennungsfähigkeit von Vorfällen erheblich gesteigert.

In diesem Artikel stellen wir ein grundlegendes Setup vor, das als Basis in jeder Umgebung dienen sollte. Dieses Setup kann und sollte anschließend an die individuellen Anforderungen der jeweiligen Infrastruktur angepasst werden.

Voraussetzungen

Um ThreatSync Core zu nutzen und die Meldungen zentral in der Cloud sichtbar zu machen, muss die Funktion zunächst aktiviert werden. Dazu in der WatchGuard Cloud (https://cloud.watchguard.com) anmelden und unter Konfigurieren → ThreatSync → Geräteeinstellungen → ThreatSync auf allen Geräten / Endpoints aktivieren:

Dadurch werden alle relevanten Daten in die Cloud übertragen und stehen zur weiteren Verarbeitung bereit.

ThreatScore

Jedes Ereignis, das in die WatchGuard Cloud gemeldet wird, erhält einen sogenannten ThreatScore – eine automatisch, KI-generierte Bewertung des Ereignisses, wobei 1 die niedrigste und 10 die kritischste Einordnung ist:

  • Kritisch: 9 oder 10
  • Hoch: 7 oder 8
  • Mittel: 4, 5 oder 6
  • Niedrig: 1, 2 oder 3

Korrelation von Ereignissen

In der ThreatSync-Verwaltungsoberfläche werden die korrelierten Ereignisse als Vorfälle aufbereitet, die Sie überprüfen und verwalten können. Hierbei werden unter anderem folgende Bedrohungen erfasst:

  • Fortgeschrittene, andauernde Bedrohungen (APTs), die im Netzwerk erkannt und auf einem Endpoint oder einer Firebox gefunden wurden
  • Malware, die im Netzwerk erkannt und auf einem Endpoint oder einer Firebox gefunden wurde
  • Bösartige Netzwerkverbindung, die einem Endpoint-Prozess oder einer Firebox zugeordnet wurde

Übersicht der Vorfälle

Nachdem ThreatSync aktiviert und einige Zeit gelaufen ist, finden sich die aufgetretenen Ereignisse unter Überwachen → Bedrohungen → Vorfälle:

Die Ereignisse werden hier gesammelt und können durchsucht und gefiltert werden. Mit einem „Klick“ auf das Ereignis werden zusätzliche Informationen angezeigt.

Regeln erstellen

1. Standard-Regeln / Grundsetup

Der erste Schritt sollte sein, die von WatchGuard vordefinierten, aber nicht automatisch aktivierten Standard-Regeln zu erzeugen:

Durch einen Klick auf “Standard-Regeln erzeugen” werden folgende 2 Standard-Regeln angelegt:

  1. Default – Close incidents with score of 1
    Schließt automatisch alle Ereignisse mit einem ThreatScore von 1 zur besseren Übersichtlichkeit. Diese Regel sollte man über den Schieberegler aktivieren, um die Ausgabe „lesbarer“ zu bekommen.
  2. Default – Isolate computers for incidents with score of 7 or higher
    Diese Regel isoliert automatisch alle Geräte, auf denen ein Ereignis mit einem ThreatScore von 7 oder höher auftritt – so steht es in der WatchGuard-Dokumentation.

Jedoch ist die zweite Standardregel so unserer Ansicht nach nicht zu empfehlen. Stattdessen ist es für den Anfang sinnvoll, eine alternative Regel mit den folgenden Einstellungen zu erstellen:

  1. Name: „Computer isolieren mit einem ThreatScore von 9 oder höher“
  2. Risikobereich von 9 bis 10 definieren
  3. Gerätetyp einschränken auf Endpoints
  4. Aktion „Gerät isolieren“

Hintergrund: Erfahrungen haben gezeigt, dass eine automatische Isolierung ab einem ThreatScore von 7 zu Problemen führen kann. Daher empfehlen wir, den Risikobereich wie oben beschrieben von 9 bis 10 zu definieren und die Regel erst zu aktivieren, nachdem man eine Zeit lang die Vorfälle beobachtet hat.

Diese beiden Grundregeln sollten in jedem Setup vorhanden sein. Zusätzliche Regeln sind individuell und auf die jeweilige Umgebung anzupassen:

Alle neu angelegten Regeln sowie Änderungen an bestehenden Regeln müssen bereitgestellt werden, um aktiv zu werden.

2. Benachrichtigungs-Regeln

ThreatSync Core sammelt alle Ereignisse wie oben beschrieben in der Übersicht der Vorfälle. Um bei einem Vorfall auch per Mail informiert zu werden, sollten die folgenden Benachrichtigungs-Regeln definiert werden.

Diese Regeln werden unter Administration → Benachrichtigungen → Regeln erstellt:

Für die Regel „Computer isolieren“ empfiehlt es sich, zwei separate Benachrichtigungs-Regeln zu erzeugen:

  1. eine Regel wenn ThreatSync einen NEUEN VORFALL erkannt hat
  2. eine Regel wenn ThreatSync eine AKTION automatisch durchgeführt hat

Fazit

ThreatSync Core ist ein leistungsstarkes Tool zur Erkennung, Analyse und automatisierten Reaktion auf Sicherheitsvorfälle.

Die hier vorgestellten Einstellungen sollten in jeder Umgebung vorhanden sein und zeigen, wie ThreatSync Core arbeitet und wie sich mit minimalem Aufwand automatisierte Reaktionen und Benachrichtigungen erstellen lassen. Jede Umgebung ist jedoch einzigartig und XDR ist ein komplexes Thema, das individuelle Anpassungen erfordert.

Für Fragen oder eine Erstkonfiguration stehen wir Ihnen gerne zur Verfügung.

Nützliche Links

Hinterlasse eine Nachricht

Deine E-Mail-Adressse wird nicht veröffentlicht. Markierte Felder sind Pflichtfelder *