Tag Archives: Cloud

HOWTO: WatchGuard ThreatSync+ NDR Collection Agent installieren – Anleitung für Ubuntu, NetFlow & sFlow

Comment

Was ist der WatchGuard ThreatSync+ Collection Agent?

WatchGuard ThreatSync+ NDR ist eine cloudbasierte Lösung zur Netzwerküberwachung und Bedrohungserkennung. Mithilfe von KI-gestützter Analyse wird der Netzwerkverkehr kontinuierlich überwacht, ausgewertet und übersichtlich visualisiert.

Dabei betrachtet das System nicht nur den Datenverkehr, der direkt über die Firewall läuft. Es unterstützt Unternehmen auch dabei, Netzwerkbereiche sichtbar zu machen, die von der Firewall allein nicht erfasst werden können. Dabei ist es auch zum ersten Mal in der Geschichte von WatchGuard möglich, die Switche in die Sicherheitsbetrachtung einzuschließen. Dafür werden Telemetriedaten verschiedener Netzwerkkomponenten benötigt.

Genau hier kommt der ThreatSync+ Collection Agent zum Einsatz. Dabei handelt es sich um einen Linux-Dienst, der über den WatchGuard Agent auf einem Ubuntu-Server installiert wird.
Der Collection Agent empfängt NetFlow-, sFlow- und DHCP-Daten von Switches, Routern und Firewalls im Netzwerk und übermittelt diese zur weiteren Verarbeitung an die WatchGuard Cloud.

In diesem Artikel zeigen wir Schritt für Schritt, wie Sie den WatchGuard ThreatSync+ NDR Collection Agent installieren und konfigurieren.

Systemvoraussetzungen

Stellen Sie sicher, dass Ihre virtuelle Maschine (VM) die folgenden Anforderungen erfüllt:

  • Betriebssystem: Ubuntu 22.04 oder 24.04 Server LTS.
    (Ubuntu 26.04 wird mit Stand Mai 2026 noch nicht unterstützt.)
  • Hardware: Mindestens 2 CPU-Kerne, 8 GB RAM und 128 GB Festplattenspeicher.
  • Sprache: Die Installation wird derzeit ausschließlich in englischer Sprache unterstützt.
  • Zusätzlich: Stellen Sie sicher, dass die passenden Hypervisor-Tools für Ihre Virtualisierungsumgebung installiert sind.

Installation des ThreatSync+ Collection Agents

  1. Öffnen Sie in der WatchGuard Cloud den Bereich ThreatSync+ Integrations.
  2. Laden Sie im Bereich Kollektor-Agenten über die Option Add Collection Agent die .run-Datei aus Ihrer WatchGuard Cloud herunter.
  3. Übertragen Sie die Datei beispielsweise per WinSCP auf Ihre Linux-VM.
  4. Wechseln Sie im Terminal in das entsprechende Verzeichnis und führen Sie das Setup aus: sudo bash 'Watchguard Agent.run'
  5. Wenn das Setup erfolgreich ausgeführt wurde, erscheint in der Konsole die Nachricht Management Agent installation successfully completed!
  6. Falls Sie die ufw (Uncomplicated Firewall) verwenden, müssen die folgenden Ports freigegeben werden:
    sudo ufw allow 2055/udp
    sudo ufw allow 6343/udp
    sudo ufw allow 514/udp
    sudo ufw enable
  7. Sollte Secure Boot auf dem System aktiviert sein, folgen Sie dieser Anleitung von WatchGuard.

Nach erfolgreicher Installation läuft der Collection Agent als Systemdienst und startet automatisch beim Booten der VM.

Collection Agent in der WatchGuard Cloud hinzufügen

Nach der Installation muss der Collection Agent noch dem NDR-System in der WatchGuard Cloud zugewiesen werden.
Navigieren Sie hierzu in den Bereich Konfigurieren → ThreatSync+ Integrations → Kollektoren::
WatchGuard ThreatSync+ Collection Agent auswählen
Wählen Sie dort den installierten Collection Agent aus und speichern Sie die Konfiguration.
Sobald sich der Agent erfolgreich mit der Cloud verbunden hat, wird der Status als Success angezeigt:

Hinweis: Es kann bis zu 90 Minuten dauern, bis die erste Meldung in der Cloud erfolgt.

Nach erfolgreicher Verbindung arbeitet der Collection Agent automatisch im Hintergrund und überträgt die gesammelten Telemetriedaten regelmäßig an die WatchGuard Cloud.

Beispielkonfiguration von NetFlow und sFlow

In diesem Abschnitt werden Beispiele für die Konfiguration für NetFlow und sFlow anhand der Konfiguration einer WatchGuard Firebox und einem HP Aruba 2530 gezeigt.

NetFlow auf einer WatchGuard Firebox konfigurieren

Die Firebox schickt bereits einen Teil ihrer Telemetrie direkt an die Cloud, sofern Cloud Visibility aktiviert wurde. NetFlow bietet hier jedoch noch einen tieferen Einblick in den Datenverkehr, da Informationen über jede Netzwerkverbindung, unabhängig der Loggingeinstellungen auf der Firewall gesammelt werden.

Um NetFlow auf einer lokal gemanageden Firebox zu aktiveren, navigieren Sie zu Setup → Netflow:

Dort können Sie festlegen, welche VLANs und Interfaces ihre Daten an den Collection Agent senden sollen. So lassen sich beispielsweise Gäste-WLANs oder andere nicht relevante Netzwerksegmente gezielt ausschließen. Dadurch werden unnötige Datenübertragungen vermieden und Bandbreite eingespart.

sFlow auf einem HP Aruba 2530 konfigurieren

sFlow unterscheidet sich von NetFlow dadurch, dass lediglich Stichproben (Samples) des Datenverkehrs analysiert werden. Dabei wird beispielsweise nur jedes tausendste Paket analysiert.
Das reduziert die Belastung der Netzwerkgeräte sowie die benötigte Bandbreite, geht jedoch zulasten der Genauigkeit.

Hier ist ein beispielhaftes Vorgehen zum Einrichten von sFlow auf einem HP Aruba 2530:

1. Konfigurationsmodus aktiveren:
#> enable config

2. Collection Agent als Ziel definieren:
sflow 1 destination 10.10.10.109

3. Sampling und Interface definieren:
sflow 1 sampling 1-52 4096

4. Polling Intervall festlegen, in dem die Daten an den Kollektor geschickt werden:
sflow 1 polling 1-52 30

In diesem Beispiel wird ungefähr eines von 4096 Paketen analysiert und alle 30 Sekunden an den Collection Agent übertragen.

Daran wird deutlich, dass sFlow keine lückenlose Analyse des Datenverkehrs liefert, sondern eher ein allgemeines Bild der Netzwerkkommunikation erzeugt. Je niedriger die Sampling-Rate gewählt wird, desto präziser werden die Ergebnisse – allerdings steigt dadurch auch die Last auf den Geräten und dem Netzwerk. Hier sollte ein sinnvoller Mittelweg gefunden werden.

Fehleranalyse und Debugging des Collection Agents

Falls sich der Collection Agent nicht erfolgreich mit der Cloud verbindet, stehen verschiedene Diagnosemöglichkeiten zur Verfügung.

Ein hilfreicher erster Schritt ist folgender Befehl:

sudo /opt/collector/scripts/collectorDiagnostics.sh

Dieses Skript zeigt unter anderem:

  • den Status der Systemfirewall
  • den Zustand der NetFlow- und sFlow-Dienste
  • die letzte Upload-Zeit
  • die Verbindung zur WatchGuard Cloud

Zusätzlich kann mit folgendem Befehl geprüft werden, ob die benötigten Ports geöffnet sind:

netstat -na

Sollten die erforderlichen Ports auf der VM freigegeben sein und dennoch Probleme auftreten, sollte geprüft werden, ob eine weitere Firewall im Netzwerk den Traffic blockiert.

Außerdem bietet der Kollektor verschiedene Logs an, die bei bei der Fehleranalyse helfen können.

Diese befinden sich im Verzeichnis /opt/collector/logs:

Hierbei sind die folgenden Logs in vielen Fällen die nützlichsten:

  • ndr_heartbeat.log
    Enthält Informationen zur Verbindung und den Heartbeats zur Cloud
  • ndr_nf_aggergator.log
    Zeigt, von welchen Quellen Daten empfangen werden, inklusive Anzahl der Flows
  • ndr_s3upload.log
    Gibt Aufschluss darüber, ob Daten erfolgreich in die Cloud hochgeladen wurden

Mit diesen Werkzeugen lassen sich viele Fehlerursachen schnell eingrenzen und beheben.

Fazit

Der WatchGuard ThreatSync+ Collection Agent bildet die technische Grundlage für die Datenerfassung für WatchGuard ThreatSync+ NDR mittels NetFlow und sFlow.

Erst durch diese Datenbasis kann ThreatSync+ NDR den Netzwerkverkehr umfassend auswerten und Auffälligkeiten oder potenzielle Risiken erkennen. Der Collection Agent sorgt somit in erster Linie für Transparenz und Sichtbarkeit innerhalb des Netzwerks, insbesondere in Bereichen, die durch klassische Firewall-Analysen nur eingeschränkt erfasst werden.

Unternehmen schaffen damit die notwendige Grundlage für eine moderne Netzwerküberwachung sowie die spätere Analyse durch ThreatSync+ NDR.

Nützliche Links

WatchGuard Threatsync+ NDR Produktseite: https://www.boc.de/watchguard-threatsync-ndr.html
WatchGuard Threatsync+ SAAS zur Erweiterung von NDR für Cloud-Schutzlösungen: https://www.boc.de/watchguard-threatsync-saas.html
WatchGuard Compliance Reporting von NDR zur Erstellung von automatisierten Berichten für Standards wie ISO-27001: https://www.boc.de/watchguard-compliance-reporting.html
WatchGuard Total MDR für 24/7 Überwachung aller WatchGuard Produkte, inklusive NDR, durch WatchGuards eigenes SOC: https://www.boc.de/watchguard-total-mdr.html

WatchGuard stellt Rai™ und Cloud Detection and Response vor

Comment

Auf der diesjährigen Impact Partner Conference in Dubrovnik hat WatchGuard Technologies gleich zwei bedeutende Neuerungen vorgestellt: Rai™, eine KI-gestützte digitale Workforce, sowie WatchGuard Cloud Detection and Response (CloudDR).

Beide Lösungen adressieren eine zentrale Herausforderung moderner Cybersicherheit: Angriffe werden zunehmend automatisiert, intelligent und rund um die Uhr ausgeführt. Klassische Security-Teams stoßen dabei schnell an ihre Grenzen. Gleichzeitig reduzieren die neuen Technologien operative Aufwände, verkürzen Reaktionszeiten und ermöglichen standardisierte sowie skalierbare Security-Services.

Sowohl Rai™ (aktuell als Beta-Version) als auch WatchGuard CloudDR sind ab sofort verfügbar.

Weiterlesen »

BestPractices.live – Verlagerung der Firebox Konfiguration von lokaler Verwaltung in die WatchGuard Cloud

Comment

In dieser Aufzeichnung erfahren Sie, wie WatchGuard Cloud mit ihrer schnellen, intuitiven Benutzeroberfläche die tägliche IT-Verwaltung vereinfacht. Dank der Cloud-basierten Lösung entfällt der Aufwand, einen lokalen Verwaltungsserver zu betreiben und abzusichern. Über die zentrale Konsole lassen sich wiederverwendbare Vorlagen für eine einheitliche und effiziente Konfiguration erstellen – und damit eine konsistente Sicherheitsstrategie im gesamten Netzwerk gewährleisten.

Viele IT-Teams stehen früher oder später vor der Frage, ob sich eine Migration von lokaler Verwaltung auf Cloud-Management lohnt – insbesondere beim Wechsel auf neue Firebox-Modelle. In diesem Webinar werden die Vor- und Nachteile einer Umstellung ausführlich beleuchtet.

Darüber hinaus erfahren Sie:

  • welche Verwaltungsoptionen zur Verfügung stehen und wie sie sich unterscheiden,
  • wie Sie die Migration optimal vorbereiten,
  • und welche Tools und Services Ihnen helfen, Konfigurationen effizient zu übernehmen.

Weiterlesen »

BestPractices.live – AuthPoint als externer MFA-Anbieter für Entra-ID

Comment

Mit dem Microsoft External Authentication Methods (EAM) Programm lassen sich Drittanbieter-Lösungen wie WatchGuard AuthPoint nahtlos in Microsoft-Cloud-Umgebungen integrieren. Unternehmen profitieren dadurch von einer sicheren, flexiblen und vollständig cloudbasierten Multifaktor-Authentifizierung – ganz ohne lokale Infrastruktur.

In dieser Webinaraufzeichnung erfahren Sie im Detail, wie Sie das volle Potenzial dieser Integration ausschöpfen können. Sie lernen unter anderem wie Sie:

  • Microsoft Entra-ID EAM direkt in der WatchGuard Cloud AuthPoint Administration konfigurieren
  • externe Authentifizierungsmethoden im Microsoft Entra-ID Admin Center hinzufügen
  • EAM-Richtlinien gezielt auf alle oder bestimmte Benutzergruppen anwenden
  • Zero Trust-Richtlinien von AuthPoint flexibel einsetzen, um Ihre Benutzer noch besser zu schützen
  • mit dieser Lösung die MFA-Anforderungen für unterstützte Microsoft-Anwendungen erfüllen

Weiterlesen »

HOWTO: Dynamische VLAN-Zuordnung mit Hilfe eines NPS in der WatchGuard Cloud

Comment

In diesem Blog-Artikel zeigen wir, wie Sie mithilfe eines Microsoft NPS-Servers (Network Policy Server) und der WatchGuard Cloud eine dynamische VLAN-Zuordnung basierend auf Active-Directory-Benutzergruppen realisieren können. So lassen sich verschiedene Netzsegmente über eine einzelne SSID verwalten – ideal für Mikrosegmentierung und Netztrennung.

Weiterlesen »

HOWTO: WLAN mit PPSK in der WatchGuard Cloud

Comment

In diesem Blog-Artikel zeigen wir, wie sich mit Private Pre-Shared Keys (PPSK) der WLAN-Zugang individuell und sicher gestalten lässt. PPSKs können für einen temporären Zugang genutzt werden, indem ein Ablaufdatum hinterlegt wird. Sie können aber auch permanent genutzt werden, beispielsweise für ausgewählte Personen oder Geräte.

Ein weiterer großer Vorteil ist, dass jedem PPSK eine VLAN-ID zugeordnet werden kann, sodass die Anmeldung zwar an einer gemeinsamen SSID stattfindet, im Hintergrund aber verschiedene Netze (Stichwort Mikrosegmentierung) zum Einsatz kommen können.

Weiterlesen »

BestPractices.live – Identität in der Unified Security Platform

Comment

In einer zunehmend komplexen Bedrohungslandschaft ist Identität der Schlüssel zu moderner, vertrauensbasierter IT-Sicherheit. Die Unified Security Platform von WatchGuard verfolgt genau diesen Ansatz – Identitäten stehen im Mittelpunkt aller Sicherheitsrichtlinien und -entscheidungen. Mit der neuesten Lösung FireCloud Internet Access wird dieser Fokus auf Identität noch weiter ausgebaut.

In dieser Webinaraufzeichnung zeigen Ihnen WatchGuard Sales Engineers praxisnah, wie Identitäten effektiv in Ihre Sicherheitsstrategie integriert werden können – für maximale Kontrolle, Transparenz und Schutz. Dabei geht es u.a. um folgende Themen:

  • Synchronisierung mit bestehenden Verzeichnisdiensten:
    Erfahren Sie, wie sich Benutzer und Gruppen aus Active Directory oder Entra ID (ehemals Azure AD) nahtlos in die WatchGuard-Plattform integrieren lassen.
  • Das WatchGuard Cloud Directory:
    Lernen Sie das native Benutzer- und Gruppenmanagement in der WatchGuard Cloud kennen – ideal für Organisationen, die ihre Identitäten direkt in der Cloud verwalten möchten.

Weiterlesen »

Neues Feature: Give Feedback – Gestalten Sie WatchGuards Zukunft aktiv mit!

Comment

Das neue Feature “Give Feedback” ist ab sofort in der WatchGuard Cloud verfügbar!

Mit diesem Feature haben Sie jetzt die Möglichkeit, aktiv an der Weiterentwicklung der WatchGuard-Produkte mitzuwirken. Damit geht WatchGuard den nächsten Schritt in Richtung Kundennähe und Transparenz! Ob lang ersehntes Must-Have-Feature oder einfach eine gute Idee für den Alltag – bringen Sie Ihre Vorschläge gezielt ein und sehen Sie, was die Community bewegt. Vorhandene Feature Requests lassen sich priorisieren und kommentieren aber auch eigene Ideen können mit wenigen Klicks eingebracht werden. Weiterlesen »

BestPractices.live – Mehrwerte der Firebox-Verwaltung in der WatchGuard Cloud

Comment

Die Verwaltung mehrerer Fireboxen kann schnell komplex und zeitaufwendig werden. Die WatchGuard Cloud bietet eine zentrale Verwaltungsplattform, die durch Automatisierung und Skalierbarkeit sowohl die Effizienz steigert als auch die Sicherheit verbessert – von einer optimierten Bedrohungserkennung bis hin zur vollständigen Kontrolle über die gesamte Sicherheitsinfrastruktur.

In dieser Webinaraufzeichnung werden die Vorteile der zentralen Verwaltung, der erhöhten Sicherheit und der verbesserten Skalierbarkeit erörtert. Gleichzeitig werden häufige Bedenken ausgeräumt und es wird aufgezeigt, wie die WatchGuard Cloud die Verwaltung der Fireboxen optimieren und zusätzliche Services liefern kann:

  • Zentralisierte Verwaltung und Suchmaschine für IoCs, die mit STIX- und YARA-Regeln kompatibel sind
  • Entdeckung von fortgeschrittenen, nicht-deterministischen IoAs, die dem MITRE ATT&CK-Framework zugeordnet sind
  • Remote Shell, die eine weitere Untersuchung, Eindämmung und Abschwächung von Bedrohungen ermöglicht

Weiterlesen »

Neues Produkt: WatchGuard FireCloud Internet Access

Comment

Die Digitalisierung und der Wandel hin zu hybriden Arbeitsmodellen haben die Anforderungen an IT-Sicherheit in Unternehmen grundlegend verändert. Mitarbeiter greifen von überall auf Unternehmensressourcen zu – ob aus dem Büro, dem Homeoffice oder von unterwegs. Traditionelle Netzwerksicherheitsmodelle geraten an ihre Grenzen, während VPNs oft mit Performance-Einbußen und administrativer Komplexität kämpfen.

Mit FireCloud Internet Access stellt WatchGuard eine innovative Secure Access Service Edge (SASE)-Lösung vor, die speziell für diese Herausforderungen entwickelt wurde. Sie kombiniert Cloud-native Sicherheit mit einfacher Verwaltung und ermöglicht Unternehmen eine leistungsstarke, skalierbare und benutzerfreundliche Lösung, die sich flexibel an unterschiedliche IT-Umgebungen anpasst und eine konsistente Sicherheitsstrategie gewährleistet. Weiterlesen »