Threat Detection and Response (TDR)

End-of-Life 

End-of-Life-Datum: 30.09.2023. WatchGuard Threat Detection and Response (TDR) und der TDR Host-Sensor sind End-of-Life und können somit Ihren Computer nicht mehr vor Bedrohungen schützen. WatchGuard wird es in naher Zukunft automatisch deinstallieren. Da Sie nicht mehr geschützt sind, wird möglicherweise dieses Symbol in der Taskleiste Ihres Computers angezeigt:


Der Nachfolger ist >> WatchGuard EDR Core.
Wir empfehlen Ihnen dringend, Ihre TDR Host-Sensoren auf Endpoint Security zu aktualisieren. Mit dem Upgrade-Assistenten in WatchGuard Cloud können TDR-Kunden ihre Host-Sensoren auf EDR Core oder ein anderes WatchGuard Endpoint Security-Produkt aktualisieren. Weitere Informationen finden Sie im WatchGuard Support Center unter >> Host Sensor upgrade to Endpoint Security.

 

Korrelieren. Priorisieren. Reagieren.

Unternehmen gleich welcher Größe sehen sich mit einer zunehmenden Gefahr von immer ausgefeilteren Zero-Day-Attacken konfrontiert. Häufig fehlen ihnen jedoch die Möglichkeiten, diese rechtzeitig zu erkennen und schnell darauf zu reagieren. Dadurch erhöht sich nicht nur das Risiko einer Attacke, oftmals lassen sich die Schäden auch nicht im erforderlichen Maße begrenzen.

Sicherheitssysteme müssen damit Schritt halten, indem sie sowohl netzwerk- und endpunktübergreifende Erkennungsfunktionen bereitstellen als auch die Möglichkeit zur Korrelation aller Ereignisaktivitäten bieten. Nur auf diese Weise lassen sich Maßnahmen zum lückenlosen Schutz des Netzwerks gezielt ergreifen. Threat Detection and Response (TDR) von WatchGuard setzt Security-Events im Netzwerk und am Endpunkt mit detaillierten Analysen zur Bedrohungslage in Verbindung. Dadurch können potenzielle Angriffe noch früher erkannt und bewertet werden. Sofortmaßnahmen zur Abwehr erfolgen rechtzeitig. Mit TDR können kleine und mittlere Unternehmen und die sie unterstützenden Managed Security Service Provider (MSSP) Angriffe durch hoch entwickelte Schadsoftware sicher abwehren – bevor geschäftskritische Daten oder die Produktivität des Unternehmens ernsthaft in Gefahr geraten.

WatchGuard Threat Detection and Response (TDR) (basierened auf der HawkEye G-Plattform von Hexis)  ermöglicht die Visualisierung dieser Bedrohungen und erlaubt mit automatisierten Tools eine schnelle Eindämmung der Auswirkungen.

Korrelation von Netzwerk- und Endpunkt-Ereignissen

Sicherheitsrelevante Events der WatchGuard-Security-Services auf dem Gateway (APT-Blocker, Gateway-Antivirus, Paket-Filter, Webblocker, Repuitation-Enabled Defense) werden mit Meldungen von WatchGuard Host-Sensoren (einer Software, die auf den Netzwerk-Endgeräten installiert wird) zusammengeführt und über ein “scored ranking” bewertet. In das Ranking des Threat Detection and Response Cloud Services (ThreatSync) fließen zusätzich die Information über neu auftauchende Bedrohungen aus einem ThreatFeed. Dies ermöglicht eine “Cloud-Intelligenz”, da in der Cloud die Angriffe aller teilnehmenden Sensoren (WatchGuard Firewalls und WatchGuard Host-Sensoren) sowie externer Informationsquellen zusammenlaufen und daraus die Bedrohungen für alle Systeme erkannt werden können.

Host Sensoren

Der schlanke Host Sensor von WatchGuard überwacht und erkennt Bedrohungsaktivitäten in Ihrem Netzwerk. Die jeweiligen Informationen werden kontinuierlich an ThreatSync zur Korrelation und Bewertung gesendet. Daraus resultieren konkrete Handlungsanweisungen zur taktischen Bedrohungsabwehr. Die Host Sensoren werden zentral über die Cloud verwaltet.

Threat Intelligence auf Enterprise-Niveau

Bisher sind meist nur Konzerne mit großen Budgets und noch größeren Sicherheitsteams in den Genuss aktueller Informationen zur Bedrohungslage von Drittanbietern gekommen. Mit Threat Detection and Response macht WatchGuard diese Informationen allen zugänglich – Kunden können von den einschlägigen Sicherheitsvorteilen profitieren, ohne die damit normalerweise verbundenen Aufwände und Kosten auf sich nehmen zu müssen.

Skalierbare Sicherheit

Der Cloud-basierte Dienst erleichtert Administratoren die schnelle Bereitstellung von Host Sensoren innerhalb ihrer gesamten Organisation. Die Erstellung von Richtlinien und die Abwehr von Bedrohungen erfolgt per Mausklick.
TDR lässt sich leicht skalieren und wächst so mit Ihrem Unternehmen mit. Jede TDR-Instanz wartet abhängig von der eingesetzten Appliance mit einer festen Anzahl von Host Sensoren auf. Mit Upgrade-Paketen lassen sich jedoch jederzeit weitere Host Sensoren hinzufügen, um die jeweiligen organisatorischen Anforderungen exakt abdecken zu können

Lizensierung

Firebox Modell
beinhaltete Host Sensoren
Host Sensor Add-On Optionen
T15 5 10 Host Sensoren
T20 5 25 Host Sensoren
T35-R 20 25 Host Sensoren
T40 20 50 Host Sensoren
T80 50 50 Host Sensoren
M270 60 100 Host Sensoren
M290 75 100 Host Sensoren
M370/M390 150 250 Host Sensoren
M470 200 250 Host Sensoren
M590/M690/M4800/M5800
M440/M570/M670/M4600/M5600
250 500 Host Sensoren
Firebox Cloud/FireboxV S 50 1000 Host Sensoren
Firebox Cloud/FireboxV M 150 2500 Host Sensoren
Firebox Cloud/FireboxV L 250 2500 Host Sensoren
Firebox Cloud/FireboxV XL 250 5000 Host Sensoren

Die Lizensierung erfolgt mehrstufig: in der Total Security Suite ist Threat Detection and Response (TDR) enthalten, der Service kann jedoch auch zur Basic Security Suite hinzugebucht werden.

Im Service enthalten sind eine von der Hardware der Box abhängige Zahl an Host-Sensoren (z.B. 20 bei einer T40 oder 75 bei einer M290). Auch ältere Modelle enthalten Host-Sensoren wie die T10 (5), T30 (20), T35 (20), T50 (35), T55 (35), T70 (60), M200 (60), M300 (150), M400 (250). Die Host-Sensor-Lizenzen sind nicht an die Box gebunden.

Die Anzahl der Host-Sensoren kann durch Zukauf weiterer Lizenzen in Packs von 10 bis 500 Host Sensoren erhöht werden.

Beispiel:
Ein Unternehmen besitzt eine M390 sowie fünf T40 (Firmensitz + 5 Außenstellen) und somit insgesamt 150 (M390) + 5 x 20 (T40) = 250 Host Sensor Lizenzen. Diese können dann nach Bedarf verteilt werden, z.B. in vier kleineren Außenstellen je 5 Lizenzen, in einer größeren Außenstelle 10 Lizenzen und die restlichen 220 Lizenzen am Firmenstammsitz.