{"id":2891,"date":"2017-06-28T11:00:46","date_gmt":"2017-06-28T09:00:46","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=2891"},"modified":"2019-04-02T14:21:43","modified_gmt":"2019-04-02T12:21:43","slug":"einrichten-von-threat-detection-and-response-teil-2","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2017\/06\/einrichten-von-threat-detection-and-response-teil-2\/","title":{"rendered":"Einrichten von Threat Detection and Response – Teil 2"},"content":{"rendered":"

In dieser Artikel-Serie (bestehend aus 5 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:<\/p>\n

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal<\/a>
\n2. (Dieser Artikel:) Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren<\/strong>
\n3. Konfiguration von Threat Detection and Response im TDR Kundenportal<\/a>
\n4. Weitere Hinweise zu TDR, Tipps und Tricks<\/a>
\n5. Best Practices<\/a><\/p>\n

Teil 2 (Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren) <\/p>\n

Hier finden Sie Informationen \u00fcber die Funktionsweise und Lizensierung von Threat Detection and Response.<\/a><\/p>\n

Teil 2 – Einrichten von TDR\u00a0auf der WatchGuard Firebox und Installation der Host-Sensoren<\/h3>\n

Einrichten von TDR auf der WatchGuard Firebox<\/h4>\n

Um TDR auf Ihrer Firebox zu aktivieren, sind folgende Schritte notwendig:<\/p>\n

    \n
  1. Voraussetzung: Feature Key mit TDR Lizenz ist bereits auf der Firebox installiert.<\/li>\n
  2. TDR Account auf der WatchGuard Website ist aktiviert – Anleitung siehe in diesem Artikel (Teil 1)<\/a><\/li>\n
  3. Loggen Sie sich in Ihren Account auf der WatchGuard Website ein und von dort weiter zur TDR Cloud Website<\/li>\n
  4. Gehen Sie zu CONFIGURATION => Host Sensor<\/strong>:
    \n\"\"<\/li>\n
  5. Kopieren Sie Sich Ihre “Account ID” (langer Hex-Wert mit Trennstrichen) und Ihre “Controller Address” (die Zieladresse der TDR Instanz) heraus.<\/li>\n
  6. Tragen Sie diese Daten in Ihre Firebox ein (\u00fcber Web-UI oder Policy Manager, jeweils unter Subscription Services => Threat Detection:
    \n<\/strong><\/strong>\"\"\u00a0 \u00a0\u00a0\"\"<\/li>\n
  7. Speichern Sie die \u00c4nderung auf die Box.<\/li>\n
  8. Hinweis: die Firebox erzeugt jetzt automatisch eine Paket-Filter Policy mit dem Namen Threat Detection and Response<\/strong><\/em> von Any-Trusted<\/em><\/strong> nach tdr-hsc-(eu|na).watchguard.com:443<\/em><\/strong>\u00a0. Diese Regel\u00a0wird ben\u00f6tigt, damit die Host-Sensoren auf den lokalen PCs\/Servern mit der WatchGuard TDR Cloud Website kommunizieren k\u00f6nnen. Diese Regel darf NICHT<\/strong> durch einen HTTPS-Proxy mit DPI ersetzt werden, da der Host-Sensor die Zertifikate der TDR Website explizit pr\u00fcft und sonst Zugriffsfehler auftreten w\u00fcrden. Damit die FQDN-basierte Regel funktioniert, muss zudem sichergestellt sein, dass die WatchGuard Firebox unter Network > Configuration > WINS\/DNS g\u00fcltige\/funktionierende DNS-Server eingetragen hat! Wenn Sie auch in den Zonen Any-Optional<\/em><\/strong> oder in Custom<\/em><\/strong> Netzen Ger\u00e4te mit TDR Host-Sensoren betreiben, erg\u00e4nzen Sie diese Regel entsprechend.<\/li>\n
  9. Nun sollten Sie Ihre Firebox im TDR Web-Frontend unter DEVICES => Firebox<\/strong> aufgelistet sehen:
    \n\"\"<\/li>\n<\/ol>\n

    Installation der Host-Sensoren<\/h4>\n

    F\u00fcr die Installation der Host-Sensoren laden Sie sich den Installer f\u00fcr den Host-Sensor von der WatchGuard TDR Website herunter. Sie finden den Installer als Setup-Executable f\u00fcr Windows oder als RPM f\u00fcr RedHat Linux unter CONFIGURATION => Host Sensor.\u00a0<\/strong><\/p>\n

      \n
    1. Manuelle Installation:
      \nW\u00e4hrend der Installation werden Sie nach der Account ID und der Controller Address (siehe oben) gefragt.<\/li>\n
    2. Automatische Installation via CLI oder GPO:
      \nSie k\u00f6nnen dem Setup-file auch per Command-Line Parameter \u00fcbergeben:<\/p>\n
      msiexec \/i [host sensor msi file] \/quiet AccountUUID=[Account ID] CONTROLLER_ADDRESS=[Controller Address]<\/span><\/pre>\n
      Beispiel (aus der WatchGuard Dokumentation):<\/p>\n
      msiexec \/i host_sensor_5.0.2.7180.msi \/quiet AccountUUID=d4377396-ff5e-4a65-8518-4907d0492855<\/span> Controller_Address=tdr-hsc-eu.watchguard.com:443<\/span><\/pre>\n
      Diese Command-Line k\u00f6nnen Sie nat\u00fcrlich auch als Script per GPO verteilen.<\/li>\n
    3. Optional\/Alternativ: Installation mittels “AD Helper”:<\/strong>
      \nWatchGuard stellt ein “AD Helper Programm” zur Verf\u00fcgung, das Sie auf einem einzelnen Rechner in Ihrer Windows-Domain installieren k\u00f6nnen. Dieser AD-Helper kommuniziert mit dem Active Directory und Ihrer TDR-Instanz und meldet alle Computer-Konten und Gruppen an die TDR Instanz. \u00dcber das Web-Frontend der TDR-Instanz k\u00f6nnen Sie dann eine Installation auf einem Client-Computer starten. Der AD-Helper erh\u00e4lt dann bei seinem n\u00e4chsten Poll den Auftrag, den Host Sensor auf dem Client-PC zu Installieren. Er mountet das Laufwerk des Clients und f\u00fchrt dort die Installation durch. Genauere Informationen sowie die technischen Voraussetzungen dazu (Programme und AD-Rechte) finden Sie in der Dokumentation zum AD-Helper auf der TDR-Website.<\/li>\n
    4. Nach dem Setup der Host-Sensoren sollten Sie diese im TDR Web-Frontend unter DEVICES => Hosts<\/strong> sehen:
      \n\"\"<\/li>\n<\/ol>\n
      In unserem Blog finden Sie einen HOWTO-Artikel zum Thema WatchGuard TDR und Windows Defender Exceptions via GPO<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"
      In dieser Artikel-Serie (bestehend aus 5 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben: 1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal 2. (Dieser Artikel:) Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren 3. Konfiguration von Threat Detection and Response im TDR Kundenportal 4. Weitere Hinweise zu TDR, Tipps und Tricks 5. … Weiterlesen Einrichten von Threat Detection and Response – Teil 2<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[375,371,369,370],"class_list":["post-2891","post","type-post","status-publish","format-standard","hentry","category-howto","tag-host-sensor","tag-security-services","tag-tdr","tag-threat-detection-and-response"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2891"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2891"}],"version-history":[{"count":17,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2891\/revisions"}],"predecessor-version":[{"id":6599,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2891\/revisions\/6599"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2891"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2891"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2891"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}