Threat Detection and Response (TDR)

Korrelieren. Priorisieren. Reagieren.

Unternehmen gleich welcher Größe sehen sich mit einer zunehmenden Gefahr von immer ausgefeilteren Zero-Day-Attacken konfrontiert. Häufig fehlen ihnen jedoch die Möglichkeiten, diese rechtzeitig zu erkennen und schnell darauf zu reagieren. Dadurch erhöht sich nicht nur das Risiko einer Attacke, oftmals lassen sich die Schäden auch nicht im erforderlichen Maße begrenzen.

Sicherheitssysteme müssen damit Schritt halten, indem sie sowohl netzwerk- und endpunktübergreifende Erkennungsfunktionen bereitstellen als auch die Möglichkeit zur Korrelation aller Ereignisaktivitäten bieten. Nur auf diese Weise lassen sich Maßnahmen zum lückenlosen Schutz des Netzwerks gezielt ergreifen. Threat Detection and Response (TDR) von WatchGuard setzt Security-Events im Netzwerk und am Endpunkt mit detaillierten Analysen zur Bedrohungslage in Verbindung. Dadurch können potenzielle Angriffe noch früher erkannt und bewertet werden. Sofortmaßnahmen zur Abwehr erfolgen rechtzeitig. Mit TDR können kleine und mittlere Unternehmen und die sie unterstützenden Managed Security Service Provider (MSSP) Angriffe durch hoch entwickelte Schadsoftware sicher abwehren – bevor geschäftskritische Daten oder die Produktivität des Unternehmens ernsthaft in Gefahr geraten.

WatchGuard Threat Detection and Response (TDR) (basierened auf der HawkEye G-Plattform von Hexis)  ermöglicht die Visualisierung dieser Bedrohungen und erlaubt mit automatisierten Tools eine schnelle Eindämmung der Auswirkungen.

Korrelation von Netzwerk- und Endpunkt-Ereignissen

Sicherheitsrelevante Events der WatchGuard-Security-Services auf dem Gateway (APT-Blocker, Gateway-Antivirus, Paket-Filter, Webblocker, Repuitation-Enabled Defense) werden mit Meldungen von WatchGuard Host-Sensoren (einer Software, die auf den Netzwerk-Endgeräten installiert wird) zusammengeführt und über ein “scored ranking” bewertet. In das Ranking des Threat Detection and Response Cloud Services (ThreatSync) fließen zusätzich die Information über neu auftauchende Bedrohungen aus einem ThreatFeed. Dies ermöglicht eine “Cloud-Intelligenz”, da in der Cloud die Angriffe aller teilnehmenden Sensoren (WatchGuard Firewalls und WatchGuard Host-Sensoren) sowie externer Informationsquellen zusammenlaufen und daraus die Bedrohungen für alle Systeme erkannt werden können.

Host Sensoren

Der schlanke Host Sensor von WatchGuard überwacht und erkennt Bedrohungsaktivitäten in Ihrem Netzwerk. Die jeweiligen Informationen werden kontinuierlich an ThreatSync zur Korrelation und Bewertung gesendet. Daraus resultieren konkrete Handlungsanweisungen zur taktischen Bedrohungsabwehr. Die Host Sensoren werden zentral über die Cloud verwaltet, was

Threat Intelligence auf Enterprise-Niveau

Bisher sind meist nur Konzerne mit großen Budgets und noch größeren Sicherheitsteams in den Genuss aktueller Informationen zur Bedrohungslage von Drittanbietern gekommen. Mit Threat Detection and Response macht WatchGuard diese Informationen allen zugänglich – Kunden können von den einschlägigen Sicherheitsvorteilen profitieren, ohne die damit normalerweise verbundenen Aufwände und Kosten auf sich nehmen zu müssen.

Skalierbare Sicherheit

Der Cloud-basierte Dienst erleichtert Administratoren die schnelle Bereitstellung von Host Sensoren innerhalb ihrer gesamten Organisation. Die Erstellung von Richtlinien und die Abwehr von Bedrohungen erfolgt per Mausklick.
TDR lässt sich leicht skalieren und wächst so mit Ihrem Unternehmen mit. Jede TDR-Instanz wartet abhängig von der eingesetzten Appliance mit einer festen Anzahl von Host Sensoren auf. Mit Upgrade-Paketen lassen sich jedoch jederzeit weitere Host Sensoren hinzufügen, um die jeweiligen organisatorischen Anforderungen exakt abdecken zu können

Lizensierung

Enthaltene Host Sensoren je Firebox – Stand Februar 2017

Die Lizensierung erfolgt mehrstufig: in der Total Security Suite ist Threat Detection and Response (TDR) enthalten, der Service kann jedoch auch zur Basic Security Suite hinzugebucht werden.

Im Service enthalten sind eine von der Hardware der Box abhängige Zahl an Host-Sensoren.  (z.B. 20 bei einer T30, 60 bei einer M200). Die Host-Sensor-Lizenzen sind nicht an die Box gebunden.

Die Anzahl der Host-Sensoren kann durch Zukauf weiterer Lizenzen in Packs von 10 bis 500 Host Sensoren erhöht werden.

Beispiel:
Ein Unternehmen besitzt eine M300 sowie fünf T30 (Firmensitz + 5 Außenstellen) und somit insgesamt 150 (M300) + 5 x 20 (T30) = 250 Host Sensor Lizenzen. Diese können dann nach Bedarf verteilt werden, z.B. in vier kleineren Außenstellen je 5 Lizenzen, in einer größeren Außenstelle 10 Lizenzen und die restlichen 220 Lizenzen am Firmenstammsitz.

 

 

 

Downloads: