Tag Archives: ThreatSync+ NDR

HOWTO: WatchGuard ThreatSync+ NDR Collection Agent installieren – Anleitung für Ubuntu, NetFlow & sFlow

Comment

Was ist der WatchGuard ThreatSync+ Collection Agent?

WatchGuard ThreatSync+ NDR ist eine cloudbasierte Lösung zur Netzwerküberwachung und Bedrohungserkennung. Mithilfe von KI-gestützter Analyse wird der Netzwerkverkehr kontinuierlich überwacht, ausgewertet und übersichtlich visualisiert.

Dabei betrachtet das System nicht nur den Datenverkehr, der direkt über die Firewall läuft. Es unterstützt Unternehmen auch dabei, Netzwerkbereiche sichtbar zu machen, die von der Firewall allein nicht erfasst werden können. Dabei ist es auch zum ersten Mal in der Geschichte von WatchGuard möglich, die Switche in die Sicherheitsbetrachtung einzuschließen. Dafür werden Telemetriedaten verschiedener Netzwerkkomponenten benötigt.

Genau hier kommt der ThreatSync+ Collection Agent zum Einsatz. Dabei handelt es sich um einen Linux-Dienst, der über den WatchGuard Agent auf einem Ubuntu-Server installiert wird.
Der Collection Agent empfängt NetFlow-, sFlow- und DHCP-Daten von Switches, Routern und Firewalls im Netzwerk und übermittelt diese zur weiteren Verarbeitung an die WatchGuard Cloud.

In diesem Artikel zeigen wir Schritt für Schritt, wie Sie den WatchGuard ThreatSync+ NDR Collection Agent installieren und konfigurieren.

Systemvoraussetzungen

Stellen Sie sicher, dass Ihre virtuelle Maschine (VM) die folgenden Anforderungen erfüllt:

  • Betriebssystem: Ubuntu 22.04 oder 24.04 Server LTS.
    (Ubuntu 26.04 wird mit Stand Mai 2026 noch nicht unterstützt.)
  • Hardware: Mindestens 2 CPU-Kerne, 8 GB RAM und 128 GB Festplattenspeicher.
  • Sprache: Die Installation wird derzeit ausschließlich in englischer Sprache unterstützt.
  • Zusätzlich: Stellen Sie sicher, dass die passenden Hypervisor-Tools für Ihre Virtualisierungsumgebung installiert sind.

Installation des ThreatSync+ Collection Agents

  1. Öffnen Sie in der WatchGuard Cloud den Bereich ThreatSync+ Integrations.
  2. Laden Sie im Bereich Kollektor-Agenten über die Option Add Collection Agent die .run-Datei aus Ihrer WatchGuard Cloud herunter.
  3. Übertragen Sie die Datei beispielsweise per WinSCP auf Ihre Linux-VM.
  4. Wechseln Sie im Terminal in das entsprechende Verzeichnis und führen Sie das Setup aus: sudo bash 'Watchguard Agent.run'
  5. Wenn das Setup erfolgreich ausgeführt wurde, erscheint in der Konsole die Nachricht Management Agent installation successfully completed!
  6. Falls Sie die ufw (Uncomplicated Firewall) verwenden, müssen die folgenden Ports freigegeben werden:
    sudo ufw allow 2055/udp
    sudo ufw allow 6343/udp
    sudo ufw allow 514/udp
    sudo ufw enable
  7. Sollte Secure Boot auf dem System aktiviert sein, folgen Sie dieser Anleitung von WatchGuard.

Nach erfolgreicher Installation läuft der Collection Agent als Systemdienst und startet automatisch beim Booten der VM.

Collection Agent in der WatchGuard Cloud hinzufügen

Nach der Installation muss der Collection Agent noch dem NDR-System in der WatchGuard Cloud zugewiesen werden.
Navigieren Sie hierzu in den Bereich Konfigurieren → ThreatSync+ Integrations → Kollektoren::
WatchGuard ThreatSync+ Collection Agent auswählen
Wählen Sie dort den installierten Collection Agent aus und speichern Sie die Konfiguration.
Sobald sich der Agent erfolgreich mit der Cloud verbunden hat, wird der Status als Success angezeigt:

Hinweis: Es kann bis zu 90 Minuten dauern, bis die erste Meldung in der Cloud erfolgt.

Nach erfolgreicher Verbindung arbeitet der Collection Agent automatisch im Hintergrund und überträgt die gesammelten Telemetriedaten regelmäßig an die WatchGuard Cloud.

Beispielkonfiguration von NetFlow und sFlow

In diesem Abschnitt werden Beispiele für die Konfiguration für NetFlow und sFlow anhand der Konfiguration einer WatchGuard Firebox und einem HP Aruba 2530 gezeigt.

NetFlow auf einer WatchGuard Firebox konfigurieren

Die Firebox schickt bereits einen Teil ihrer Telemetrie direkt an die Cloud, sofern Cloud Visibility aktiviert wurde. NetFlow bietet hier jedoch noch einen tieferen Einblick in den Datenverkehr, da Informationen über jede Netzwerkverbindung, unabhängig der Loggingeinstellungen auf der Firewall gesammelt werden.

Um NetFlow auf einer lokal gemanageden Firebox zu aktiveren, navigieren Sie zu Setup → Netflow:

Dort können Sie festlegen, welche VLANs und Interfaces ihre Daten an den Collection Agent senden sollen. So lassen sich beispielsweise Gäste-WLANs oder andere nicht relevante Netzwerksegmente gezielt ausschließen. Dadurch werden unnötige Datenübertragungen vermieden und Bandbreite eingespart.

sFlow auf einem HP Aruba 2530 konfigurieren

sFlow unterscheidet sich von NetFlow dadurch, dass lediglich Stichproben (Samples) des Datenverkehrs analysiert werden. Dabei wird beispielsweise nur jedes tausendste Paket analysiert.
Das reduziert die Belastung der Netzwerkgeräte sowie die benötigte Bandbreite, geht jedoch zulasten der Genauigkeit.

Hier ist ein beispielhaftes Vorgehen zum Einrichten von sFlow auf einem HP Aruba 2530:

1. Konfigurationsmodus aktiveren:
#> enable config

2. Collection Agent als Ziel definieren:
sflow 1 destination 10.10.10.109

3. Sampling und Interface definieren:
sflow 1 sampling 1-52 4096

4. Polling Intervall festlegen, in dem die Daten an den Kollektor geschickt werden:
sflow 1 polling 1-52 30

In diesem Beispiel wird ungefähr eines von 4096 Paketen analysiert und alle 30 Sekunden an den Collection Agent übertragen.

Daran wird deutlich, dass sFlow keine lückenlose Analyse des Datenverkehrs liefert, sondern eher ein allgemeines Bild der Netzwerkkommunikation erzeugt. Je niedriger die Sampling-Rate gewählt wird, desto präziser werden die Ergebnisse – allerdings steigt dadurch auch die Last auf den Geräten und dem Netzwerk. Hier sollte ein sinnvoller Mittelweg gefunden werden.

Fehleranalyse und Debugging des Collection Agents

Falls sich der Collection Agent nicht erfolgreich mit der Cloud verbindet, stehen verschiedene Diagnosemöglichkeiten zur Verfügung.

Ein hilfreicher erster Schritt ist folgender Befehl:

sudo /opt/collector/scripts/collectorDiagnostics.sh

Dieses Skript zeigt unter anderem:

  • den Status der Systemfirewall
  • den Zustand der NetFlow- und sFlow-Dienste
  • die letzte Upload-Zeit
  • die Verbindung zur WatchGuard Cloud

Zusätzlich kann mit folgendem Befehl geprüft werden, ob die benötigten Ports geöffnet sind:

netstat -na

Sollten die erforderlichen Ports auf der VM freigegeben sein und dennoch Probleme auftreten, sollte geprüft werden, ob eine weitere Firewall im Netzwerk den Traffic blockiert.

Außerdem bietet der Kollektor verschiedene Logs an, die bei bei der Fehleranalyse helfen können.

Diese befinden sich im Verzeichnis /opt/collector/logs:

Hierbei sind die folgenden Logs in vielen Fällen die nützlichsten:

  • ndr_heartbeat.log
    Enthält Informationen zur Verbindung und den Heartbeats zur Cloud
  • ndr_nf_aggergator.log
    Zeigt, von welchen Quellen Daten empfangen werden, inklusive Anzahl der Flows
  • ndr_s3upload.log
    Gibt Aufschluss darüber, ob Daten erfolgreich in die Cloud hochgeladen wurden

Mit diesen Werkzeugen lassen sich viele Fehlerursachen schnell eingrenzen und beheben.

Fazit

Der WatchGuard ThreatSync+ Collection Agent bildet die technische Grundlage für die Datenerfassung für WatchGuard ThreatSync+ NDR mittels NetFlow und sFlow.

Erst durch diese Datenbasis kann ThreatSync+ NDR den Netzwerkverkehr umfassend auswerten und Auffälligkeiten oder potenzielle Risiken erkennen. Der Collection Agent sorgt somit in erster Linie für Transparenz und Sichtbarkeit innerhalb des Netzwerks, insbesondere in Bereichen, die durch klassische Firewall-Analysen nur eingeschränkt erfasst werden.

Unternehmen schaffen damit die notwendige Grundlage für eine moderne Netzwerküberwachung sowie die spätere Analyse durch ThreatSync+ NDR.

Nützliche Links

WatchGuard Threatsync+ NDR Produktseite: https://www.boc.de/watchguard-threatsync-ndr.html
WatchGuard Threatsync+ SAAS zur Erweiterung von NDR für Cloud-Schutzlösungen: https://www.boc.de/watchguard-threatsync-saas.html
WatchGuard Compliance Reporting von NDR zur Erstellung von automatisierten Berichten für Standards wie ISO-27001: https://www.boc.de/watchguard-compliance-reporting.html
WatchGuard Total MDR für 24/7 Überwachung aller WatchGuard Produkte, inklusive NDR, durch WatchGuards eigenes SOC: https://www.boc.de/watchguard-total-mdr.html

BestPractices.live – ThreatSync+ NDR

Comment

ThreatSync+ NDR ermöglicht es, auch komplexe Cyberangriffe zu erkennen, die von herkömmlichen Lösungen oft unentdeckt bleiben. Mithilfe moderner Technologien wie künstlicher Intelligenz, Machine Learning und einer mehrschichtigen Analyse von Bedrohungen sorgt die Lösung für eine ganzheitliche Absicherung von Netzwerken. Gleichzeitig werden Fehlalarme minimiert und Reaktionsprozesse deutlich beschleunigt.

Die Lösung wurde gezielt entwickelt, um Netzwerke vor unterschiedlichsten Risiken zu schützen – dazu zählen unter anderem ungesicherte IoT-Geräte, Drucker, Schatten-IT sowie weitere eingebundene Systeme. Zusätzlich unterstützt sie dabei, die Effektivität bestehender Firewall-Regeln zu überprüfen und regulatorische Anforderungen einzuhalten.

In dieser Webinaraufzeichnung erhalten Sie einen umfassenden Überblick über ThreatSync+ NDR und lernen, wie Sie die Lösung optimal in der Praxis einsetzen können.

Weiterlesen »

BestPractices.live – Vorstellung von ThreatSync+ NDR

Comment

ThreatSync+ NDR (Network Detection and Response) gibt Ihnen die Kontrolle über Ihr Netzwerk zurück – mit der Fähigkeit, selbst ausgeklügelte Cyber-Bedrohungen zu erkennen, die herkömmliche Sicherheitslösungen oft übersehen. Mithilfe fortschrittlicher Technologien wie maschinellem Lernen, künstlicher Intelligenz und multidimensionaler Bedrohungsanalyse bietet die Lösung eine ganzheitliche Netzwerksicherheit. Gleichzeitig werden Fehlalarme reduziert und Reaktionszeiten signifikant verkürzt.

ThreatSync+ NDR wurde gezielt entwickelt, um Ihr Netzwerk umfassend zu schützen – einschließlich oft übersehener Komponenten wie IoT-Geräten, Druckern, Schatten-IT und anderen Endpunkten. Darüber hinaus unterstützt die Lösung bei der Überprüfung der Wirksamkeit Ihrer Firewall-Regeln und trägt zur Einhaltung regulatorischer Vorgaben bei.

In dieser Webinaraufzeichnung erfahren Sie, wie Sie das volle Potenzial der leistungsstarken NDR-Funktionen von ThreatSync+ NDR in der Praxis nutzen können.
Weiterlesen »

BestPractices.live – Verstärken Sie Ihre Firebox mit WatchGuard ThreatSync+ NDR

Comment

Erhöhen Sie die Leistung Ihrer Firebox mit WatchGuard ThreatSync+ NDR (Network Detection and Response). Ihre Firewall ist das Rückgrat Ihrer Cybersecurity-Verteidigung und WatchGuard NDR verwandelt sie in ein fortschrittliches System zur Erkennung von Netzwerk-KI-Bedrohungen. In dieser Webinaraufzeichnung erfahren Sie, wie WatchGuard ThreatSync+ NDR die Leistung Ihrer Firebox steigern kann und damit die Cybersicherheit einfacher, intelligenter und effektiver macht.

Folgende Themen liegen dabei im Fokus:

  • Die innovativen KI-Funktionen von WatchGuard ThreatSync+ NDR, mit denen selbst raffinierte Ransomware- und Lieferkettenangriffe erkannt werden können – selbst solche, die traditionelle Schutzmaßnahmen umgehen.
  • Nahtlose Integration von ThreatSync+ NDR in bestehende IT-Infrastrukturen über die WatchGuard Cloud, ohne dass aufwendige Anpassungen erforderlich sind.
  • Die Fähigkeit von WatchGuard ThreatSync+ NDR, nicht nur Bedrohungen zu erkennen, sondern auch verbundene Geräte im Netzwerk zu identifizieren und rechtzeitig vor gefährdeten Geräten zu warnen.
  • Erweiterte Überwachungsfunktionen, mit denen ThreatSync+ NDR auch das interne Netzwerk im Blick behält, um das gesamte Netzwerk effektiv vor versteckten Bedrohungen zu schützen.

Weiterlesen »

BestPractices.live – Einführung in WatchGuard ThreatSync+ NDR

Comment

Unternehmen sind ständigen Angriffen auf ihre IT-Netzwerke ausgesetzt und es wird immer schwieriger, Bedrohungen zu verhindern. Die Network Detection and Response (NDR) Technologie nutzt künstliche Intelligenz zur kontinuierlichen Überwachung von Aktivitäten, um Bedrohungen zu erkennen, Netzwerkrisiken sichtbar zu machen und die Einhaltung von Vorschriften sicherzustellen.

In dem Webinar geht dabei u.a. um folgende Punkte:

  • Wie der NDR-Service Einblick in den Ost-West-Verkehr bietet, um Aktivitäten aufzuspüren, die eine Firewall allein nicht erkennen kann
  • Beispiele für die Berichterstattung zur Vereinfachung der Konformität mit ISO 27001, CIS Controls und Vorschriften wie der DSGVO

Weiterlesen »