Tag Archives: ThreatSync

HOWTO: WatchGuard ThreatSync+ NDR Collection Agent installieren – Anleitung für Ubuntu, NetFlow & sFlow

Comment

Was ist der WatchGuard ThreatSync+ Collection Agent?

WatchGuard ThreatSync+ NDR ist eine cloudbasierte Lösung zur Netzwerküberwachung und Bedrohungserkennung. Mithilfe von KI-gestützter Analyse wird der Netzwerkverkehr kontinuierlich überwacht, ausgewertet und übersichtlich visualisiert.

Dabei betrachtet das System nicht nur den Datenverkehr, der direkt über die Firewall läuft. Es unterstützt Unternehmen auch dabei, Netzwerkbereiche sichtbar zu machen, die von der Firewall allein nicht erfasst werden können. Dabei ist es auch zum ersten Mal in der Geschichte von WatchGuard möglich, die Switche in die Sicherheitsbetrachtung einzuschließen. Dafür werden Telemetriedaten verschiedener Netzwerkkomponenten benötigt.

Genau hier kommt der ThreatSync+ Collection Agent zum Einsatz. Dabei handelt es sich um einen Linux-Dienst, der über den WatchGuard Agent auf einem Ubuntu-Server installiert wird.
Der Collection Agent empfängt NetFlow-, sFlow- und DHCP-Daten von Switches, Routern und Firewalls im Netzwerk und übermittelt diese zur weiteren Verarbeitung an die WatchGuard Cloud.

In diesem Artikel zeigen wir Schritt für Schritt, wie Sie den WatchGuard ThreatSync+ NDR Collection Agent installieren und konfigurieren.

Systemvoraussetzungen

Stellen Sie sicher, dass Ihre virtuelle Maschine (VM) die folgenden Anforderungen erfüllt:

  • Betriebssystem: Ubuntu 22.04 oder 24.04 Server LTS.
    (Ubuntu 26.04 wird mit Stand Mai 2026 noch nicht unterstützt.)
  • Hardware: Mindestens 2 CPU-Kerne, 8 GB RAM und 128 GB Festplattenspeicher.
  • Sprache: Die Installation wird derzeit ausschließlich in englischer Sprache unterstützt.
  • Zusätzlich: Stellen Sie sicher, dass die passenden Hypervisor-Tools für Ihre Virtualisierungsumgebung installiert sind.

Installation des ThreatSync+ Collection Agents

  1. Öffnen Sie in der WatchGuard Cloud den Bereich ThreatSync+ Integrations.
  2. Laden Sie im Bereich Kollektor-Agenten über die Option Add Collection Agent die .run-Datei aus Ihrer WatchGuard Cloud herunter.
  3. Übertragen Sie die Datei beispielsweise per WinSCP auf Ihre Linux-VM.
  4. Wechseln Sie im Terminal in das entsprechende Verzeichnis und führen Sie das Setup aus: sudo bash 'Watchguard Agent.run'
  5. Wenn das Setup erfolgreich ausgeführt wurde, erscheint in der Konsole die Nachricht Management Agent installation successfully completed!
  6. Falls Sie die ufw (Uncomplicated Firewall) verwenden, müssen die folgenden Ports freigegeben werden:
    sudo ufw allow 2055/udp
    sudo ufw allow 6343/udp
    sudo ufw allow 514/udp
    sudo ufw enable
  7. Sollte Secure Boot auf dem System aktiviert sein, folgen Sie dieser Anleitung von WatchGuard.

Nach erfolgreicher Installation läuft der Collection Agent als Systemdienst und startet automatisch beim Booten der VM.

Collection Agent in der WatchGuard Cloud hinzufügen

Nach der Installation muss der Collection Agent noch dem NDR-System in der WatchGuard Cloud zugewiesen werden.
Navigieren Sie hierzu in den Bereich Konfigurieren → ThreatSync+ Integrations → Kollektoren::
WatchGuard ThreatSync+ Collection Agent auswählen
Wählen Sie dort den installierten Collection Agent aus und speichern Sie die Konfiguration.
Sobald sich der Agent erfolgreich mit der Cloud verbunden hat, wird der Status als Success angezeigt:

Hinweis: Es kann bis zu 90 Minuten dauern, bis die erste Meldung in der Cloud erfolgt.

Nach erfolgreicher Verbindung arbeitet der Collection Agent automatisch im Hintergrund und überträgt die gesammelten Telemetriedaten regelmäßig an die WatchGuard Cloud.

Beispielkonfiguration von NetFlow und sFlow

In diesem Abschnitt werden Beispiele für die Konfiguration für NetFlow und sFlow anhand der Konfiguration einer WatchGuard Firebox und einem HP Aruba 2530 gezeigt.

NetFlow auf einer WatchGuard Firebox konfigurieren

Die Firebox schickt bereits einen Teil ihrer Telemetrie direkt an die Cloud, sofern Cloud Visibility aktiviert wurde. NetFlow bietet hier jedoch noch einen tieferen Einblick in den Datenverkehr, da Informationen über jede Netzwerkverbindung, unabhängig der Loggingeinstellungen auf der Firewall gesammelt werden.

Um NetFlow auf einer lokal gemanageden Firebox zu aktiveren, navigieren Sie zu Setup → Netflow:

Dort können Sie festlegen, welche VLANs und Interfaces ihre Daten an den Collection Agent senden sollen. So lassen sich beispielsweise Gäste-WLANs oder andere nicht relevante Netzwerksegmente gezielt ausschließen. Dadurch werden unnötige Datenübertragungen vermieden und Bandbreite eingespart.

sFlow auf einem HP Aruba 2530 konfigurieren

sFlow unterscheidet sich von NetFlow dadurch, dass lediglich Stichproben (Samples) des Datenverkehrs analysiert werden. Dabei wird beispielsweise nur jedes tausendste Paket analysiert.
Das reduziert die Belastung der Netzwerkgeräte sowie die benötigte Bandbreite, geht jedoch zulasten der Genauigkeit.

Hier ist ein beispielhaftes Vorgehen zum Einrichten von sFlow auf einem HP Aruba 2530:

1. Konfigurationsmodus aktiveren:
#> enable config

2. Collection Agent als Ziel definieren:
sflow 1 destination 10.10.10.109

3. Sampling und Interface definieren:
sflow 1 sampling 1-52 4096

4. Polling Intervall festlegen, in dem die Daten an den Kollektor geschickt werden:
sflow 1 polling 1-52 30

In diesem Beispiel wird ungefähr eines von 4096 Paketen analysiert und alle 30 Sekunden an den Collection Agent übertragen.

Daran wird deutlich, dass sFlow keine lückenlose Analyse des Datenverkehrs liefert, sondern eher ein allgemeines Bild der Netzwerkkommunikation erzeugt. Je niedriger die Sampling-Rate gewählt wird, desto präziser werden die Ergebnisse – allerdings steigt dadurch auch die Last auf den Geräten und dem Netzwerk. Hier sollte ein sinnvoller Mittelweg gefunden werden.

Fehleranalyse und Debugging des Collection Agents

Falls sich der Collection Agent nicht erfolgreich mit der Cloud verbindet, stehen verschiedene Diagnosemöglichkeiten zur Verfügung.

Ein hilfreicher erster Schritt ist folgender Befehl:

sudo /opt/collector/scripts/collectorDiagnostics.sh

Dieses Skript zeigt unter anderem:

  • den Status der Systemfirewall
  • den Zustand der NetFlow- und sFlow-Dienste
  • die letzte Upload-Zeit
  • die Verbindung zur WatchGuard Cloud

Zusätzlich kann mit folgendem Befehl geprüft werden, ob die benötigten Ports geöffnet sind:

netstat -na

Sollten die erforderlichen Ports auf der VM freigegeben sein und dennoch Probleme auftreten, sollte geprüft werden, ob eine weitere Firewall im Netzwerk den Traffic blockiert.

Außerdem bietet der Kollektor verschiedene Logs an, die bei bei der Fehleranalyse helfen können.

Diese befinden sich im Verzeichnis /opt/collector/logs:

Hierbei sind die folgenden Logs in vielen Fällen die nützlichsten:

  • ndr_heartbeat.log
    Enthält Informationen zur Verbindung und den Heartbeats zur Cloud
  • ndr_nf_aggergator.log
    Zeigt, von welchen Quellen Daten empfangen werden, inklusive Anzahl der Flows
  • ndr_s3upload.log
    Gibt Aufschluss darüber, ob Daten erfolgreich in die Cloud hochgeladen wurden

Mit diesen Werkzeugen lassen sich viele Fehlerursachen schnell eingrenzen und beheben.

Fazit

Der WatchGuard ThreatSync+ Collection Agent bildet die technische Grundlage für die Datenerfassung für WatchGuard ThreatSync+ NDR mittels NetFlow und sFlow.

Erst durch diese Datenbasis kann ThreatSync+ NDR den Netzwerkverkehr umfassend auswerten und Auffälligkeiten oder potenzielle Risiken erkennen. Der Collection Agent sorgt somit in erster Linie für Transparenz und Sichtbarkeit innerhalb des Netzwerks, insbesondere in Bereichen, die durch klassische Firewall-Analysen nur eingeschränkt erfasst werden.

Unternehmen schaffen damit die notwendige Grundlage für eine moderne Netzwerküberwachung sowie die spätere Analyse durch ThreatSync+ NDR.

Nützliche Links

WatchGuard Threatsync+ NDR Produktseite: https://www.boc.de/watchguard-threatsync-ndr.html
WatchGuard Threatsync+ SAAS zur Erweiterung von NDR für Cloud-Schutzlösungen: https://www.boc.de/watchguard-threatsync-saas.html
WatchGuard Compliance Reporting von NDR zur Erstellung von automatisierten Berichten für Standards wie ISO-27001: https://www.boc.de/watchguard-compliance-reporting.html
WatchGuard Total MDR für 24/7 Überwachung aller WatchGuard Produkte, inklusive NDR, durch WatchGuards eigenes SOC: https://www.boc.de/watchguard-total-mdr.html

BestPractices.live – ThreatSync+ NDR

Comment

ThreatSync+ NDR ermöglicht es, auch komplexe Cyberangriffe zu erkennen, die von herkömmlichen Lösungen oft unentdeckt bleiben. Mithilfe moderner Technologien wie künstlicher Intelligenz, Machine Learning und einer mehrschichtigen Analyse von Bedrohungen sorgt die Lösung für eine ganzheitliche Absicherung von Netzwerken. Gleichzeitig werden Fehlalarme minimiert und Reaktionsprozesse deutlich beschleunigt.

Die Lösung wurde gezielt entwickelt, um Netzwerke vor unterschiedlichsten Risiken zu schützen – dazu zählen unter anderem ungesicherte IoT-Geräte, Drucker, Schatten-IT sowie weitere eingebundene Systeme. Zusätzlich unterstützt sie dabei, die Effektivität bestehender Firewall-Regeln zu überprüfen und regulatorische Anforderungen einzuhalten.

In dieser Webinaraufzeichnung erhalten Sie einen umfassenden Überblick über ThreatSync+ NDR und lernen, wie Sie die Lösung optimal in der Praxis einsetzen können.

Weiterlesen »

BestPractices.live – ThreatSync Core: Erweiterte Erkennung und Reaktion

Comment

ThreatSync Core ist eine fortschrittliche Cybersicherheitslösung, die die Erkennung und Reaktion auf Bedrohungen durch Extended Detection and Response (XDR) verbessert. Sie konsolidiert Sicherheitsdaten von mehreren WatchGuard-Produkten in einer einheitlichen Schnittstelle und ermöglicht so eine präzise Korrelation von Warnmeldungen und eine Priorisierung von Vorfällen. ThreatSync Core sorgt für einen zentralen Überblick und eine koordinierte Reaktion auf Bedrohungen, verkürzt die mittlere Reaktionszeit (MTTR) und ermöglicht es den Sicherheitsteams, Bedrohungen effizient zu bekämpfen. Diese skalierbare Lösung ist für Unternehmen aller Größen zugänglich und bietet eine solide Grundlage für moderne Cybersicherheitsstrategien.

In dieser Webinaraufzeichnung erfahren Sie u.a. mehr über die folgenden Themen:

  • Was ist ThreatSync Core?
  • Alarmierungs- und Abhilfemöglichkeiten der Plattform
  • Wie Sie ThreatSync Core in Ihrer WatchGuard Cloud aktivieren
  • Wie Sie automatische und manuelle Reaktionen erstellen

Weiterlesen »

BestPractices.live – Abwehr von Brute-Force-Aktivitäten mit VPN

Comment

Im vergangenen Jahr haben Brute-Force-Angriffe auf VPN-Verbindungen deutlich zugenommen – und stellen inzwischen eine ernsthafte Bedrohung für Unternehmen jeder Größe dar.

In dieser Webinaraufzeichnung erfahren Sie, wie diese Angriffe ablaufen, worauf Sie achten müssen und welche konkreten Maßnahmen Sie ergreifen können, um Ihr Unternehmen effektiv zu schützen. Zu den wichtigsten Themen gehören:

  • Wichtige Protokollaktivitäten bei der Arbeit mit WatchGuard-Produkten
  • So blockieren Sie Brute-Force-Quellen mithilfe der Firebox-Dienste
  • Erkennung und Abwehr von Angriffen durch den Einsatz von ThreatSync

Weiterlesen »

BestPractices.live – M365-Sicherheit mit WatchGuard ThreatSync+ SaaS

Comment

Microsoft 365 (M365) ist der Eckpfeiler moderner Geschäftsabläufe – aber seine Komplexität kann Unternehmen verwundbar machen. Von administrativen Fehlkonfigurationen bis hin zu unerbittlichen Cyberangriffen – der Schutz von M365-Umgebungen war noch nie eine größere Herausforderung, insbesondere für kleine IT-Teams.

Aus diesem Grund hat WatchGuard ThreatSync+ SaaS für M365 auf den Markt gebracht: eine leistungsstarke, benutzerfreundliche und erschwingliche Lösung, die speziell für den Schutz von M365-Umgebungen entwickelt wurde und den Schutz auf hybride Cloud-Infrastrukturen ausdehnt.

In dieser Webinaraufzeichnung erfahren Sie was die Vorteile von ThreatSync+ SaaS sind:

  • Vereinfachte Erkennung von Bedrohungen: Verschaffen Sie sich mit einem intuitiven Dashboard einen klaren Überblick über die Risiken für Benutzer, Administratorkonten, Dateien und Anwendungen.
  • Fortgeschrittene künstliche Intelligenz: Kontinuierliche Überwachung durch künstliche Intelligenz identifiziert Bedrohungen, warnt Sie und bietet umsetzbare Abhilfemaßnahmen an.
  • Nahtlos erweiterbar: Schützen Sie nicht nur M365, sondern auch weitere Cloud-Umgebungen wie AWS und Google sowie Ihr gesamtes Netzwerk durch einfache Integration.
  • Liefert umsetzbare Einblicke: Greifen Sie auf einen umfassenden Risiko- und Bedrohungsüberblick mit praktischen, gemeinsam nutzbaren M365 Defense Goals-Berichten zu, um Ihre Verteidigungsstrategie zu steuern.

Weiterlesen »

BestPractices.live – Vorstellung von ThreatSync+ NDR

Comment

ThreatSync+ NDR (Network Detection and Response) gibt Ihnen die Kontrolle über Ihr Netzwerk zurück – mit der Fähigkeit, selbst ausgeklügelte Cyber-Bedrohungen zu erkennen, die herkömmliche Sicherheitslösungen oft übersehen. Mithilfe fortschrittlicher Technologien wie maschinellem Lernen, künstlicher Intelligenz und multidimensionaler Bedrohungsanalyse bietet die Lösung eine ganzheitliche Netzwerksicherheit. Gleichzeitig werden Fehlalarme reduziert und Reaktionszeiten signifikant verkürzt.

ThreatSync+ NDR wurde gezielt entwickelt, um Ihr Netzwerk umfassend zu schützen – einschließlich oft übersehener Komponenten wie IoT-Geräten, Druckern, Schatten-IT und anderen Endpunkten. Darüber hinaus unterstützt die Lösung bei der Überprüfung der Wirksamkeit Ihrer Firewall-Regeln und trägt zur Einhaltung regulatorischer Vorgaben bei.

In dieser Webinaraufzeichnung erfahren Sie, wie Sie das volle Potenzial der leistungsstarken NDR-Funktionen von ThreatSync+ NDR in der Praxis nutzen können.
Weiterlesen »

Verbesserte Netzwerksicherheit durch optimierten Botnet Detection Service

Comment

WatchGuard hat kürzlich bedeutende Verbesserungen an dem Botnet Detection Service, der Teil der Basic Security Suite ist, implementiert. Diese Neuerungen zielen darauf ab, die Transparenz gegenüber potenziellen Bedrohungen zu erhöhen und Unternehmen eine noch proaktivere Absicherung ihrer Netzwerke zu ermöglichen. Besonders hervorzuheben sind dabei die präzisere Auswertung von Bedrohungsdaten sowie die Einführung neuer Erkennungskategorien, die Sicherheitsverantwortlichen einen umfassenderen Einblick in auffällige Aktivitäten im Netzwerkumfeld bieten. Weiterlesen »

HOWTO: Erstinstallation/Grundsetup für ThreatSync Core in der WatchGuard Cloud

Comment

ThreatSync Core dient als zentrales Informationszentrum zur Überwachung und automatisierten Reaktion auf Sicherheitsvorfälle. Aktuell können Ereignisse von Fireboxen, Access Points, AuthPoint sowie Endpoint-Produkten verarbeitet werden. Durch die Korrelation dieser Daten wird die Erkennungsfähigkeit von Vorfällen erheblich gesteigert.

In diesem Artikel stellen wir ein grundlegendes Setup vor, das als Basis in jeder Umgebung dienen sollte. Dieses Setup kann und sollte anschließend an die individuellen Anforderungen der jeweiligen Infrastruktur angepasst werden.

Weiterlesen »

Neues ThreatSync Core Release: Credential Access mit AuthPoint

Comment

Mit der neuen Funktion “Credential Access” können Sie AuthPoint-Vorfälle direkt in WatchGuard ThreatSync Core einsehen und verwalten. AuthPoint sendet entsprechende Ereignisdaten als “Credential Access”-Events an ThreatSync Core. Abhängig von der Art des Vorfalls können umgehende Gegenmaßnahmen ergriffen werden, z. B.:

  • Sperrung eines Benutzer
  • Blockierung einer IP-Adresse
  • Isolierung eines betroffenen Geräts

Mit diesem Release liefert ThreatSync Core wertvolle Bedrohungsinformationen aus AuthPoint, indem Aktivitäten, Ereignisse und Signale für die Korrelation und Risikobewertung erfasst werden. Durch die Nutzung dieser Daten von AuthPoint stärkt diese Funktion den Schutz Ihres Unternehmens vor Identitätsdiebstahl und unbefugtem Zugriff. ThreatSync Core bietet damit eine verbesserte Erkennung von Credential Access-Vorfällen durch die Integration wichtiger Indicators of Compromise (IoCs) und Indicators of Attack (IoAs).

Welche Vorfälle deckt Credential Access ab?

Weiterlesen »

BestPractices.live – Evasive Malware mit der Unified Security Platform stoppen

Comment

Die meiste moderne Malware ist evasiv und darauf ausgelegt, die Sicherheitsabwehr zu umgehen. Durch den Einsatz fortschrittlicher Techniken wie Code-Verschleierung, Polymorphismus, Verschlüsselung und die Ausnutzung von Zero-Day-Schwachstellen kann evasive Malware ihre Präsenz und ihr Verhalten verbergen, was ihre Identifizierung und Eindämmung erschwert.

In dieser Webinaraufzeichnung geht es darum wie evasive Malware arbeitet, welche Techniken Hacker nutzen und wie WatchGuards Lösungen wie ThreatSync (XDR) Ihr Sicherheitsteam bei der Erkennung und Bekämpfung solcher Bedrohungen unterstützen. Dabei geht es u.a. um folgende Themen:

  • Wie die WatchGuard Firebox mit der Total Security Suite und WatchGuard EPDR Angriffe, die diese Umgehungstechniken nutzen, erkennen und stoppen kann
  • Eine Demo, wie ThreatSync (XDR), eine zentralisierte Reaktion auf Vorfälle für Ihr Sicherheitsteam ermöglicht

Weiterlesen »