Tag Archives: ThreatSync

Systeme zur Angriffserkennung (SzA) mit WatchGuard Endpoint Security

Einsatz von Systemen zur Angriffserkennung (SzA) gemäß IT-SiG 2.0

Gemäß § 8a Absatz 1a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) sind Betreiber Kritischer Infrastrukturen (KRITIS) sowie bestimmte Betreiber von Energieanlagen verpflichtet, Systeme zur Angriffserkennung (SzA) einzusetzen. Die Verpflichtung gilt seit dem 1. Mai 2023. Das BSI stellt hierfür eine >> Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung bereit. Sie beschreibt die Anforderungen an Betreiber sowie an prüfende Stellen und dient als Grundlage für die Umsetzung und Prüfung der gesetzlichen Vorgaben.

Die SzA sollen Bedrohungen kontinuierlich erkennen, analysieren und geeignete Maßnahmen zur Begrenzung und Beseitigung von Sicherheitsvorfällen unterstützen. Hierzu müssen sie geeignete Parameter und Merkmale aus dem laufenden Betrieb automatisiert erfassen und auswerten. Im Rahmen der regelmäßigen Nachweisprüfung gemäß § 8a Absatz 3 BSIG müssen Betreiber dem BSI weiterhin alle zwei Jahre nachweisen, dass die Anforderungen einschließlich des Einsatzes von Systemen zur Angriffserkennung angemessen umgesetzt wurden.

Weiterlesen

HOWTO: WatchGuard ThreatSync+ NDR Collection Agent installieren – Anleitung für Ubuntu, NetFlow & sFlow

Was ist der WatchGuard ThreatSync+ Collection Agent?

WatchGuard ThreatSync+ NDR ist eine cloudbasierte Lösung zur Netzwerküberwachung und Bedrohungserkennung. Mithilfe von KI-gestützter Analyse wird der Netzwerkverkehr kontinuierlich überwacht, ausgewertet und übersichtlich visualisiert.

Dabei betrachtet das System nicht nur den Datenverkehr, der direkt über die Firewall läuft. Es unterstützt Unternehmen auch dabei, Netzwerkbereiche sichtbar zu machen, die von der Firewall allein nicht erfasst werden können. Dabei ist es auch zum ersten Mal in der Geschichte von WatchGuard möglich, die Switche in die Sicherheitsbetrachtung einzuschließen. Dafür werden Telemetriedaten verschiedener Netzwerkkomponenten benötigt.

Genau hier kommt der ThreatSync+ Collection Agent zum Einsatz. Dabei handelt es sich um einen Linux-Dienst, der über den WatchGuard Agent auf einem Ubuntu-Server installiert wird.
Der Collection Agent empfängt NetFlow-, sFlow- und DHCP-Daten von Switches, Routern und Firewalls im Netzwerk und übermittelt diese zur weiteren Verarbeitung an die WatchGuard Cloud.

In diesem Artikel zeigen wir Schritt für Schritt, wie Sie den WatchGuard ThreatSync+ NDR Collection Agent installieren und konfigurieren. Weiterlesen »

BestPractices.live – ThreatSync+ NDR

ThreatSync+ NDR ermöglicht es, auch komplexe Cyberangriffe zu erkennen, die von herkömmlichen Lösungen oft unentdeckt bleiben. Mithilfe moderner Technologien wie künstlicher Intelligenz, Machine Learning und einer mehrschichtigen Analyse von Bedrohungen sorgt die Lösung für eine ganzheitliche Absicherung von Netzwerken. Gleichzeitig werden Fehlalarme minimiert und Reaktionsprozesse deutlich beschleunigt.

Die Lösung wurde gezielt entwickelt, um Netzwerke vor unterschiedlichsten Risiken zu schützen – dazu zählen unter anderem ungesicherte IoT-Geräte, Drucker, Schatten-IT sowie weitere eingebundene Systeme. Zusätzlich unterstützt sie dabei, die Effektivität bestehender Firewall-Regeln zu überprüfen und regulatorische Anforderungen einzuhalten.

In dieser Webinaraufzeichnung erhalten Sie einen umfassenden Überblick über ThreatSync+ NDR und lernen, wie Sie die Lösung optimal in der Praxis einsetzen können.

Weiterlesen »

BestPractices.live – ThreatSync Core: Erweiterte Erkennung und Reaktion

ThreatSync Core ist eine fortschrittliche Cybersicherheitslösung, die die Erkennung und Reaktion auf Bedrohungen durch Extended Detection and Response (XDR) verbessert. Sie konsolidiert Sicherheitsdaten von mehreren WatchGuard-Produkten in einer einheitlichen Schnittstelle und ermöglicht so eine präzise Korrelation von Warnmeldungen und eine Priorisierung von Vorfällen. ThreatSync Core sorgt für einen zentralen Überblick und eine koordinierte Reaktion auf Bedrohungen, verkürzt die mittlere Reaktionszeit (MTTR) und ermöglicht es den Sicherheitsteams, Bedrohungen effizient zu bekämpfen. Diese skalierbare Lösung ist für Unternehmen aller Größen zugänglich und bietet eine solide Grundlage für moderne Cybersicherheitsstrategien.

In dieser Webinaraufzeichnung erfahren Sie u.a. mehr über die folgenden Themen:

  • Was ist ThreatSync Core?
  • Alarmierungs- und Abhilfemöglichkeiten der Plattform
  • Wie Sie ThreatSync Core in Ihrer WatchGuard Cloud aktivieren
  • Wie Sie automatische und manuelle Reaktionen erstellen

Weiterlesen »

BestPractices.live – Abwehr von Brute-Force-Aktivitäten mit VPN

Im vergangenen Jahr haben Brute-Force-Angriffe auf VPN-Verbindungen deutlich zugenommen – und stellen inzwischen eine ernsthafte Bedrohung für Unternehmen jeder Größe dar.

In dieser Webinaraufzeichnung erfahren Sie, wie diese Angriffe ablaufen, worauf Sie achten müssen und welche konkreten Maßnahmen Sie ergreifen können, um Ihr Unternehmen effektiv zu schützen. Zu den wichtigsten Themen gehören:

  • Wichtige Protokollaktivitäten bei der Arbeit mit WatchGuard-Produkten
  • So blockieren Sie Brute-Force-Quellen mithilfe der Firebox-Dienste
  • Erkennung und Abwehr von Angriffen durch den Einsatz von ThreatSync

Weiterlesen »

BestPractices.live – M365-Sicherheit mit WatchGuard ThreatSync+ SaaS

Microsoft 365 (M365) ist der Eckpfeiler moderner Geschäftsabläufe – aber seine Komplexität kann Unternehmen verwundbar machen. Von administrativen Fehlkonfigurationen bis hin zu unerbittlichen Cyberangriffen – der Schutz von M365-Umgebungen war noch nie eine größere Herausforderung, insbesondere für kleine IT-Teams.

Aus diesem Grund hat WatchGuard ThreatSync+ SaaS für M365 auf den Markt gebracht: eine leistungsstarke, benutzerfreundliche und erschwingliche Lösung, die speziell für den Schutz von M365-Umgebungen entwickelt wurde und den Schutz auf hybride Cloud-Infrastrukturen ausdehnt.

In dieser Webinaraufzeichnung erfahren Sie was die Vorteile von ThreatSync+ SaaS sind:

  • Vereinfachte Erkennung von Bedrohungen: Verschaffen Sie sich mit einem intuitiven Dashboard einen klaren Überblick über die Risiken für Benutzer, Administratorkonten, Dateien und Anwendungen.
  • Fortgeschrittene künstliche Intelligenz: Kontinuierliche Überwachung durch künstliche Intelligenz identifiziert Bedrohungen, warnt Sie und bietet umsetzbare Abhilfemaßnahmen an.
  • Nahtlos erweiterbar: Schützen Sie nicht nur M365, sondern auch weitere Cloud-Umgebungen wie AWS und Google sowie Ihr gesamtes Netzwerk durch einfache Integration.
  • Liefert umsetzbare Einblicke: Greifen Sie auf einen umfassenden Risiko- und Bedrohungsüberblick mit praktischen, gemeinsam nutzbaren M365 Defense Goals-Berichten zu, um Ihre Verteidigungsstrategie zu steuern.

Weiterlesen »

BestPractices.live – Vorstellung von ThreatSync+ NDR

ThreatSync+ NDR (Network Detection and Response) gibt Ihnen die Kontrolle über Ihr Netzwerk zurück – mit der Fähigkeit, selbst ausgeklügelte Cyber-Bedrohungen zu erkennen, die herkömmliche Sicherheitslösungen oft übersehen. Mithilfe fortschrittlicher Technologien wie maschinellem Lernen, künstlicher Intelligenz und multidimensionaler Bedrohungsanalyse bietet die Lösung eine ganzheitliche Netzwerksicherheit. Gleichzeitig werden Fehlalarme reduziert und Reaktionszeiten signifikant verkürzt.

ThreatSync+ NDR wurde gezielt entwickelt, um Ihr Netzwerk umfassend zu schützen – einschließlich oft übersehener Komponenten wie IoT-Geräten, Druckern, Schatten-IT und anderen Endpunkten. Darüber hinaus unterstützt die Lösung bei der Überprüfung der Wirksamkeit Ihrer Firewall-Regeln und trägt zur Einhaltung regulatorischer Vorgaben bei.

In dieser Webinaraufzeichnung erfahren Sie, wie Sie das volle Potenzial der leistungsstarken NDR-Funktionen von ThreatSync+ NDR in der Praxis nutzen können.
Weiterlesen »

Verbesserte Netzwerksicherheit durch optimierten Botnet Detection Service

WatchGuard hat kürzlich bedeutende Verbesserungen an dem Botnet Detection Service, der Teil der Basic Security Suite ist, implementiert. Diese Neuerungen zielen darauf ab, die Transparenz gegenüber potenziellen Bedrohungen zu erhöhen und Unternehmen eine noch proaktivere Absicherung ihrer Netzwerke zu ermöglichen. Besonders hervorzuheben sind dabei die präzisere Auswertung von Bedrohungsdaten sowie die Einführung neuer Erkennungskategorien, die Sicherheitsverantwortlichen einen umfassenderen Einblick in auffällige Aktivitäten im Netzwerkumfeld bieten. Weiterlesen »

HOWTO: Erstinstallation/Grundsetup für ThreatSync Core in der WatchGuard Cloud

ThreatSync Core dient als zentrales Informationszentrum zur Überwachung und automatisierten Reaktion auf Sicherheitsvorfälle. Aktuell können Ereignisse von Fireboxen, Access Points, AuthPoint sowie Endpoint-Produkten verarbeitet werden. Durch die Korrelation dieser Daten wird die Erkennungsfähigkeit von Vorfällen erheblich gesteigert.

In diesem Artikel stellen wir ein grundlegendes Setup vor, das als Basis in jeder Umgebung dienen sollte. Dieses Setup kann und sollte anschließend an die individuellen Anforderungen der jeweiligen Infrastruktur angepasst werden.

Weiterlesen »

Neues ThreatSync Core Release: Credential Access mit AuthPoint

Mit der neuen Funktion „Credential Access“ können Sie AuthPoint-Vorfälle direkt in WatchGuard ThreatSync Core einsehen und verwalten. AuthPoint sendet entsprechende Ereignisdaten als „Credential Access“-Events an ThreatSync Core. Abhängig von der Art des Vorfalls können umgehende Gegenmaßnahmen ergriffen werden, z. B.:

  • Sperrung eines Benutzer
  • Blockierung einer IP-Adresse
  • Isolierung eines betroffenen Geräts

Mit diesem Release liefert ThreatSync Core wertvolle Bedrohungsinformationen aus AuthPoint, indem Aktivitäten, Ereignisse und Signale für die Korrelation und Risikobewertung erfasst werden. Durch die Nutzung dieser Daten von AuthPoint stärkt diese Funktion den Schutz Ihres Unternehmens vor Identitätsdiebstahl und unbefugtem Zugriff. ThreatSync Core bietet damit eine verbesserte Erkennung von Credential Access-Vorfällen durch die Integration wichtiger Indicators of Compromise (IoCs) und Indicators of Attack (IoAs).

Welche Vorfälle deckt Credential Access ab?

Weiterlesen »