{"id":27040,"date":"2025-02-03T13:42:19","date_gmt":"2025-02-03T12:42:19","guid":{"rendered":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/?p=27040"},"modified":"2025-02-14T16:14:20","modified_gmt":"2025-02-14T15:14:20","slug":"howto-erstinstallation-grundsetup-fuer-theatsync-core-in-der-watchguard-cloud","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2025\/02\/howto-erstinstallation-grundsetup-fuer-theatsync-core-in-der-watchguard-cloud\/","title":{"rendered":"HOWTO: Erstinstallation\/Grundsetup f\u00fcr ThreatSync Core in der WatchGuard Cloud"},"content":{"rendered":"<p><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-security-services-und-suites\/watchguard-threatsync-xdr\/\" target=\"_blank\" rel=\"noopener\">ThreatSync Core<\/a> dient als zentrales Informationszentrum zur \u00dcberwachung und automatisierten Reaktion auf Sicherheitsvorf\u00e4lle. Aktuell k\u00f6nnen Ereignisse von Fireboxen, Access Points, AuthPoint sowie Endpoint-Produkten verarbeitet werden. Durch die Korrelation dieser Daten wird die Erkennungsf\u00e4higkeit von Vorf\u00e4llen erheblich gesteigert.<\/p>\n<p>In diesem Artikel stellen wir ein grundlegendes Setup vor, das als Basis in jeder Umgebung dienen sollte. Dieses Setup kann und sollte anschlie\u00dfend an die individuellen Anforderungen der jeweiligen Infrastruktur angepasst werden.<\/p>\n<p><!--more--><\/p>\n<h3>Voraussetzungen<\/h3>\n<p>Um ThreatSync Core zu nutzen und die Meldungen zentral in der Cloud sichtbar zu machen, muss die Funktion zun\u00e4chst aktiviert werden. Dazu in der WatchGuard Cloud (<a href=\"https:\/\/cloud.watchguard.com\" target=\"_blank\" rel=\"noopener\">https:\/\/cloud.watchguard.com<\/a>) anmelden und unter <strong>Konfigurieren \u2192 ThreatSync \u2192 Ger\u00e4teeinstellungen \u2192 ThreatSync<\/strong> <strong>auf allen Ger\u00e4ten \/ Endpoints aktivieren<\/strong>:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-27041 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-01.png\" alt=\"\" width=\"855\" height=\"823\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-01.png 855w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-01-300x289.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-01-768x739.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-01-800x770.png 800w\" sizes=\"(max-width: 855px) 100vw, 855px\" \/><br \/>\nDadurch werden alle relevanten Daten in die Cloud \u00fcbertragen und stehen zur weiteren Verarbeitung bereit.<\/p>\n<h3>ThreatScore<\/h3>\n<p>Jedes Ereignis, das in die WatchGuard Cloud gemeldet wird, erh\u00e4lt einen sogenannten ThreatScore &#8211; eine automatisch, KI-generierte Bewertung des Ereignisses, wobei 1 die niedrigste und 10 die kritischste Einordnung ist:<\/p>\n<ul>\n<li>Kritisch: 9 oder 10<\/li>\n<li>Hoch: 7 oder 8<\/li>\n<li>Mittel: 4, 5 oder 6<\/li>\n<li>Niedrig: 1, 2 oder 3<\/li>\n<\/ul>\n<h3>Korrelation von Ereignissen<\/h3>\n<p>In der ThreatSync-Verwaltungsoberfl\u00e4che werden die korrelierten Ereignisse als Vorf\u00e4lle aufbereitet, die Sie \u00fcberpr\u00fcfen und verwalten k\u00f6nnen. Hierbei werden unter anderem folgende Bedrohungen erfasst:<\/p>\n<ul>\n<li>Fortgeschrittene, andauernde Bedrohungen (APTs), die im Netzwerk erkannt und auf einem Endpoint oder einer Firebox gefunden wurden<\/li>\n<li>Malware, die im Netzwerk erkannt und auf einem Endpoint oder einer Firebox gefunden wurde<\/li>\n<li>B\u00f6sartige Netzwerkverbindung, die einem Endpoint-Prozess oder einer Firebox zugeordnet wurde<\/li>\n<\/ul>\n<h3>\u00dcbersicht der Vorf\u00e4lle<\/h3>\n<p>Nachdem ThreatSync aktiviert und einige Zeit gelaufen ist, finden sich die aufgetretenen Ereignisse unter <strong>\u00dcberwachen \u2192 Bedrohungen \u2192 Vorf\u00e4lle<\/strong>:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-27045 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-02.png\" alt=\"\" width=\"1109\" height=\"391\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-02.png 1109w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-02-300x106.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-02-1024x361.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-02-768x271.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-02-800x282.png 800w\" sizes=\"(max-width: 1109px) 100vw, 1109px\" \/><\/p>\n<p>Die Ereignisse werden hier gesammelt und k\u00f6nnen durchsucht und gefiltert werden. Mit einem \u201eKlick\u201c auf das Ereignis werden zus\u00e4tzliche Informationen angezeigt. <strong><br \/>\n<\/strong><\/p>\n<h3>Regeln erstellen<\/h3>\n<h5>1. Standard-Regeln \/ Grundsetup<\/h5>\n<p>Der erste Schritt sollte sein, die von WatchGuard vordefinierten, aber nicht automatisch aktivierten Standard-Regeln zu erzeugen:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-27046 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03.png\" alt=\"\" width=\"1738\" height=\"260\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03.png 1738w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03-300x45.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03-1024x153.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03-768x115.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03-1536x230.png 1536w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03-800x120.png 800w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-03-1200x180.png 1200w\" sizes=\"(max-width: 1738px) 100vw, 1738px\" \/><\/p>\n<p>Durch einen Klick auf &#8220;Standard-Regeln erzeugen&#8221; werden folgende 2 Standard-Regeln angelegt:<\/p>\n<ol>\n<li><strong>Default &#8211; Close incidents with score of 1<\/strong><br \/>\nSchlie\u00dft automatisch alle Ereignisse mit einem ThreatScore von <strong>1<\/strong> zur besseren \u00dcbersichtlichkeit. Diese Regel sollte man \u00fcber den Schieberegler aktivieren, um die Ausgabe \u201elesbarer\u201c zu bekommen.<\/li>\n<li><strong>Default &#8211; Isolate computers for incidents with score of 7 or higher<\/strong><br \/>\nDiese Regel isoliert automatisch alle Ger\u00e4te, auf denen ein Ereignis mit einem ThreatScore von 7 oder h\u00f6her auftritt \u2013 so steht es in der WatchGuard-Dokumentation.<\/li>\n<\/ol>\n<p><strong>Jedoch ist die zweite Standardregel so unserer Ansicht nach nicht zu empfehlen. Stattdessen ist es f\u00fcr den Anfang sinnvoll, eine alternative Regel mit den folgenden Einstellungen zu erstellen:<\/strong><\/p>\n<ol type=\"A\">\n<li>Name: \u201eComputer isolieren mit einem ThreatScore von 9 oder h\u00f6her\u201c<\/li>\n<li>Risikobereich von 9 bis 10 definieren<\/li>\n<li>Ger\u00e4tetyp einschr\u00e4nken auf Endpoints<\/li>\n<li>Aktion \u201eGer\u00e4t isolieren\u201c<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-27047 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-04.png\" alt=\"\" width=\"1180\" height=\"1051\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-04.png 1180w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-04-300x267.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-04-1024x912.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-04-768x684.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-04-800x713.png 800w\" sizes=\"(max-width: 1180px) 100vw, 1180px\" \/><\/p>\n<p>Hintergrund: Erfahrungen haben gezeigt, dass eine automatische Isolierung ab einem ThreatScore von 7 zu Problemen f\u00fchren kann. Daher empfehlen wir, den Risikobereich wie oben beschrieben von 9 bis 10 zu definieren und die Regel erst zu aktivieren, nachdem man eine Zeit lang die Vorf\u00e4lle beobachtet hat.<\/p>\n<p>Diese beiden Grundregeln sollten in jedem Setup vorhanden sein. Zus\u00e4tzliche Regeln sind individuell und auf die jeweilige Umgebung anzupassen:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-27048 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-05.png\" alt=\"\" width=\"1191\" height=\"529\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-05.png 1191w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-05-300x133.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-05-1024x455.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-05-768x341.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-05-800x355.png 800w\" sizes=\"(max-width: 1191px) 100vw, 1191px\" \/><\/p>\n<p>Alle neu angelegten Regeln sowie \u00c4nderungen an bestehenden Regeln m\u00fcssen bereitgestellt werden, um aktiv zu werden.<\/p>\n<h5>2. Benachrichtigungs-Regeln<\/h5>\n<p>ThreatSync Core sammelt alle Ereignisse wie oben beschrieben in der \u00dcbersicht der Vorf\u00e4lle. Um bei einem Vorfall auch per Mail informiert zu werden, sollten die folgenden Benachrichtigungs-Regeln definiert werden.<\/p>\n<p>Diese Regeln werden unter <strong>Administration \u2192 Benachrichtigungen \u2192 Regeln <\/strong>erstellt:<strong><em><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-27049 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-06.png\" alt=\"\" width=\"1434\" height=\"645\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-06.png 1434w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-06-300x135.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-06-1024x461.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-06-768x345.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-06-800x360.png 800w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-06-1200x540.png 1200w\" sizes=\"(max-width: 1434px) 100vw, 1434px\" \/><br \/>\n<\/em><\/strong><\/p>\n<p>F\u00fcr die Regel \u201eComputer isolieren\u201c empfiehlt es sich, zwei separate Benachrichtigungs-Regeln zu erzeugen:<\/p>\n<ol>\n<li>eine Regel wenn ThreatSync einen NEUEN VORFALL erkannt hat<\/li>\n<li>eine Regel wenn ThreatSync eine AKTION automatisch durchgef\u00fchrt hat<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-27051 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-07.png\" alt=\"\" width=\"1100\" height=\"1197\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-07.png 1100w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-07-276x300.png 276w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-07-941x1024.png 941w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-07-768x836.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/02\/howto-threatsync-07-800x871.png 800w\" sizes=\"(max-width: 1100px) 100vw, 1100px\" \/><\/p>\n<h3>Fazit<\/h3>\n<p>ThreatSync Core ist ein leistungsstarkes Tool zur Erkennung, Analyse und automatisierten Reaktion auf Sicherheitsvorf\u00e4lle.<\/p>\n<p>Die hier vorgestellten Einstellungen sollten in jeder Umgebung vorhanden sein und zeigen, wie ThreatSync Core arbeitet und wie sich mit minimalem Aufwand automatisierte Reaktionen und Benachrichtigungen erstellen lassen. Jede Umgebung ist jedoch einzigartig und XDR ist ein komplexes Thema, das individuelle Anpassungen erfordert.<\/p>\n<p>F\u00fcr Fragen oder eine Erstkonfiguration stehen wir Ihnen\u00a0gerne zur Verf\u00fcgung.<\/p>\n<h3>N\u00fctzliche Links<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-security-services-und-suites\/watchguard-threatsync-xdr\/\" target=\"_blank\" rel=\"noopener\">WatchGuard ThreatSync Core (XDR)<\/a><\/li>\n<li><a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/de-de\/Content\/en-US\/WG-Cloud\/ThreatSync\/threatsync_intro.html\">\u00dcberwachen von Bedrohungen mit ThreatSync<\/a> (WatchGuard Help Center)<\/li>\n<li><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2025\/01\/neues-threatsync-core-release-credential-access-mit-authpoint\/\" target=\"_blank\" rel=\"noopener\">Credential Access mit AuthPoint<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>ThreatSync Core dient als zentrales Informationszentrum zur \u00dcberwachung und automatisierten Reaktion auf Sicherheitsvorf\u00e4lle. Aktuell k\u00f6nnen Ereignisse von Fireboxen, Access Points, AuthPoint sowie Endpoint-Produkten verarbeitet werden. Durch die Korrelation dieser Daten wird die Erkennungsf\u00e4higkeit von Vorf\u00e4llen erheblich gesteigert. In diesem Artikel stellen wir ein grundlegendes Setup vor, das als Basis in jeder Umgebung dienen sollte. Dieses Setup kann und sollte anschlie\u00dfend an die individuellen Anforderungen der &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2025\/02\/howto-erstinstallation-grundsetup-fuer-theatsync-core-in-der-watchguard-cloud\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">HOWTO: Erstinstallation\/Grundsetup f\u00fcr ThreatSync Core in der WatchGuard Cloud<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":18,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[439,512,678,839,598,1201,1202,888,1199,605,1047,825],"class_list":["post-27040","post","type-post","status-publish","format-standard","hentry","category-howto","tag-authpoint","tag-cloud","tag-edr","tag-epdr","tag-firebox","tag-isolation","tag-threatscore","tag-threatsync","tag-threatsync-core","tag-watchguard-cloud","tag-watchguard-endpoint","tag-xdr"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/27040"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=27040"}],"version-history":[{"count":11,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/27040\/revisions"}],"predecessor-version":[{"id":27218,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/27040\/revisions\/27218"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=27040"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=27040"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=27040"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}