Tag Archives: Threat Detection and Response

TDR 5.5 ist jetzt verfügbar

TDR 5.5 (Threat Detection and Response) beinhaltet zwei große neue Features:

Host Containment:
Host Containment ermöglicht den Administratoren infizierte Host-Maschinen einzugrenzen. Sobald eine Bedrohung identifiziert wurde, wird ThreatSync aktiv und isoliert den Host Endpunkt, um eine Verbreitung der Malware zu anderen Endpunkten zu verhindern. Dieses Feature ermöglicht sogar Geräte zu isolieren, die außerhalb ihres Netzwerks liegen und verringert die Fälle, bei denen ein infizierter Host wieder ins Netzwerk aufgenommen wird und unbeabsichtigt das Netzwerk infiziert.

Artificial Intelligence:
TDR 5.5 kann mit Hilfe einer neuen Engine durch künstliche Intelligenz Dateien besser identifizieren und klassifizieren. ThreatSync benutzt die künstliche Intelligenz um automatisch alle Kombinationen von Funktionen zu analysieren und anschließend zu bestimmen, ob eine Datei verdächtige Charakteristiken aufweist, bevor sie zur weiteren Analyse an den APT Blocker weitergeleitet wird. Dadurch wird verhindert,  dass verdächtige Dateien unentdeckt bleiben und ermöglicht Ihnen echte Bedrohungen mit größerer Überzeugung zu identifizieren.

Zusätzliche Features:

  • Benachrichtigungen über relevante TDR Events im System tray
  • es ist möglich den Schutz zu pausieren wenn nötig
  • Auto-Update-Kontrolle für den Host Sensor

Wer bereits TDR aktiviert hat und nutzt, hat ab sofort Zugang zu TDR 5.5 und kann die neuen Features nutzen.

anbei die Original-Meldung von WatchGuard:

Weiterlesen »

Best Practices – Threat Detection and Response (TDR) effizient einsetzen

Inhalt:

TDR bietet leistungsstarken Schutz vor modernen Malware-Bedrohungen und kann automatisch eingreifen, um Dateien in Quarantäne zu verschieben, Prozesse abzubrechen oder Registrierungsschlüssel zu löschen. Wehren Sie erkannte Bedrohungen mit einem Klick ab oder erstellen Sie Richtlinien für eine automatisierte Reaktion basierend auf dem Bedrohungs-Score. In diesem Webinar werden Fallbeispiele dargestellt, bei denen TDR seine Stärke ausspielen und dank Korrelation der Netzwerk- und Endgeräte-Events Schaden verhindern kann.

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Jetzt online für dieses kostenfreie Webinar registrieren

TDR 5.4 ist jetzt verfügbar

TDR 5.4 (Threat Detection and Response) beinhaltet zwei neue Features:

Account Reset Feature:
Dieses ermöglicht Admins alle Elemente der TDR Konfiguration zurückzusetzen. Dies ist vor allem nützlich, wenn man von einem “factory default” Zustand eine neue Konfiguration aufsetzen möchte.

Security Feature:
Ungeachtet dessen ob die Nutzer an ihrem Laptop Adminrechte haben oder nicht ermöglicht TDR den Admins direkten Zugriff auf den Host Sensor und somit die Kontrolle ob der Host Sensor abgeändert oder deinstalliert werden kann.

Beide Features können über das TDR Portal zentral konfiguriert werden.

TDR Host Sensor kann TDR Cloud nicht erreichen

Kürzlich bei einem Kunden aufgetreten: der TDR Host Sensor konnte installiert werden, war aber in der Cloud Instanz nicht sichtbar.

Im Logfile des TDR Host Sensors (c:\windows\temp\host_sensor.log) findet sich:

2017-07-10 18:50:01.839 [Error] [thread:2564] [Communications] Connection timed out to Controller 52.59.71.126:443
2017-07-10 18:50:01.839 [Error] [thread:2564] [Communications] Failed to connect to any Controller in known list

Lösung: in den Releases Fireware 11.12.1 und 11.12.2 gab es ein Problem, falls man die Aktivierung von TDR auf der Firebox via Web-UI vorgenommen hat. Dann wurden nämlich in der automatisch hinzugefügten Policy für “WatchGuard Threat Detection and Response” leider die Häkchen für NAT weggelassen. Ausgehende Verbindungen zu der TDR Cloud wurden daher nicht mit der öffentlichen IP des External Interfaces als Source IP hergestellt, sondern mit der privaten IP-Adresse des internen Client-PC. So konnte natürlich keine erfolgreiche Verbindung aufgebaut werden.

Abhilfe im Policy Manager:

1. Firewall > Firewall Policies.
2. WatchGuard Threat Detection and Response Policy auswählen
3. Action > Edit Policy
4. Advanced Tab auswählen
5. Häkchen bei den Checkboxen 1-to-1 NAT und Dynamic NAT setzen
6. Save to Firebox

Einrichten von Threat Detection and Response – Teil 1

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. (Dieser Artikel:) Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal
4. Weitere Hinweise zu TDR, Tipps und Tricks

Teil 1 (Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal) Weiterlesen »

Einrichten von Threat Detection and Response – Teil 2

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. (Dieser Artikel:) Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal
4. Weitere Hinweise zu TDR, Tipps und Tricks

Teil 2 (Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren) Weiterlesen »

Einrichten von Threat Detection and Response – Teil 3

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. (Dieser Artikel:) Konfiguration von Threat Detection and Response im TDR Kundenportal
4. Weitere Hinweise zu TDR, Tipps und Tricks

Teil 3 (Konfiguration von Threat Detection and Response im TDR Kundenportal) Weiterlesen »

Einrichten von Threat Detection and Response – Teil 4

In dieser Artikel-Serie (bestehend aus 4 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal 
4. (Dieser Artikel:) Weitere Hinweise zu TDR, Tipps und Tricks

Teil 4 (Weitere Hinweise zu TDR, Tipps und Tricks) Weiterlesen »

WatchGuard erwirbt Threat Detection und Response-Lösung HawkEye G von Hexis

Integration ins Portfolio erweitert das Angebot um holistischen Netzwerkschutz

WatchGuard Technologies hat sein Security-Portfolio um die Threat Detection and Response-Lösung HawkEye G von der Hexis Cyber Solutions ergänzt. Unternehmen gleich welcher Größe sehen sich mit einer zunehmenden Gefahr von immer ausgefeilteren Zero-Day-Attacken konfrontiert. Häufig fehlen ihnen jedoch die Möglichkeiten, diese rechtzeitig zu erkennen und schnell darauf zu reagieren. Dadurch erhöht sich nicht nur das Risiko einer Attacke, oftmals lassen sich die Schäden auch nicht im erforderlichen Maße begrenzen. Die HawkEye G-Plattform von Hexis ermöglicht die Visualisierung dieser Bedrohungen und erlaubt mit automatisierten Tools eine schnelle Eindämmung der Auswirkungen.

Prakash Panjwani, CEO von WatchGuard, dazu: „Mit der Integration von HawkEye G in unsere Lösungen stellen wir uns dem Problem einer sich stets weiterentwickelnden Bedrohungslandschaft, indem wir für eine umfassende Perimeter-Sicherheit bis zum End-Point sorgen. Der Erwerb dieses führenden und bereits mehrfach ausgezeichneten Produkts erweitert unsere Strategie, unseren Kunden einfach zu implementierende und zu wartende Sicherheitslösungen zu liefern – unabhängig von deren Größe.“

Andrew Young, Vice President Product Management bei WatchGuard, geht auf die Technik ein: „Die Verbindung aus einer signaturfreien Heuristik von HawkEye G für statische und dynamische Hosts mit einem ‚Unified-Scoring-Modell’ bietet unvergleichbare Visualisierungsmöglichkeiten und Einsichten in die Vorgänge im Netzwerk. Aktuell arbeiten wir mit Hochdruck daran, diese innovative Technologie in unser Portfolio zu integrieren und unseren mehr als 75.000 Kunden weltweit sowie allen Partnern zur Verfügung zu stellen.“ Über die Integration in die ‚Management Security Service Provider’ (MSSP)-Plattform von WatchGuard können Service Provider ihren Anwendern – kleine und mittlere Unternehmen, Großkonzerne sowie Distributed Enterprises – zusätzliche Services und damit echten Mehrwert zur Verfügung stellen.

Über Hexis HawkExe G

Die HawkEye-Plattform findet und reagiert auf Bedrohungen, bevor diese Schäden anrichten. Dazu kommt eine Kombination aus Verhaltensanalysen am Endpoint, einer durchgängigen Aufzeichnung und Deep Packet-Inspektion im Netzwerk sowie weiteren Security-Analysen in einer regelbasierten, automatisierten bzw. maschinengeführten Architektur zum Einsatz. Anwender können eine Vielzahl von Erkennungs- sowie Visualisierungsmöglichkeiten nutzen, um die Schwere und die Auswirkungen eines Angriffs zu beurteilen und darauf entsprechend zu reagieren.

Über WatchGuard Technologies

WatchGuard Technologies ist ein globaler Anbieter von integrierten und multifunktionalen Business-Security-Lösungen, die Standard-Hardware mit erstklassigen Sicherheitsfunktionen sowie intuitiv zu bedienenden, Richtlinien-basierten Management-Werkzeugen gezielt miteinander vereinen. Mit Schutzmechanismen auf Enterprise-Niveau erfüllt WatchGuard die Anforderungen von hunderttausenden Unternehmen weltweit. Neben der Zentrale in Seattle im US-Bundesstaat Washington verfügt WatchGuard über Niederlassungen in ganz Nordamerika, Lateinamerika und Europa sowie im asiatisch-pazifischen Raum.