\n2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren<\/a>
\n3. (Dieser Artikel:) Konfiguration von Threat Detection and Response im TDR Kundenportal<\/strong>
\n4. Weitere Hinweise zu TDR, Tipps und Tricks<\/a>
\n5. Best Practices<\/a><\/p>\n
Teil 3 (Konfiguration von Threat Detection and Response im TDR Kundenportal) <\/p>\n
Hier finden Sie Informationen \u00fcber die Funktionsweise und Lizensierung von Threat Detection and Response.<\/a><\/p>\n Die einzelnen unter DEVICES => Hosts<\/strong> sichtbaren Hosts k\u00f6nnen zu Gruppen zusammengefasst werden. Die Gruppen werden unter CONFIGURATION => Groups<\/strong> erstellt und ge\u00e4ndert. Diese so erstellten Gruppen k\u00f6nnen verwendet werden, um f\u00fcr eine Gruppe von Ger\u00e4ten ge\u00e4nderte Host Sensor Einstellungen\u00a0zu erzwingen oder um f\u00fcr einzelne Gruppen bestimmte Policies zu erzwingen, die Ausnahmen gegen\u00fcber dem Standard-Verhalten beschreiben.<\/p>\n Die Default-Gruppe f\u00fcr alle Hosts hei\u00dft “All Hosts”<\/strong>, in ihr sind immer alle Hosts enthalten.<\/p>\n Unter SETTINGS => Host Sensor<\/strong> k\u00f6nnen Sie Einstellungen f\u00fcr den Host Sensor t\u00e4tigen. Eine Erkl\u00e4rung zu der jeweiligen Option erhalten Sie, wenn Sie auf das runde Informations-Symbol klicken.<\/p>\n Unter CONFIGURATION => Groups => Gruppe aufklappen => Tab Host Sensor Configuration<\/strong> k\u00f6nnen Sie die Host Sensor-Einstellungen f\u00fcr eine einzelne Gruppe \u00fcberschreiben. Hier im Beispiel wurde f\u00fcr die Gruppe LAPTOPS\u00a0die Einstellung “Heuristics” abgeschaltet):<\/p>\n Unter CONFIGURATION => Exclusion<\/strong> k\u00f6nnen Sie Dateien oder Verzeichnisse von der \u00dcberwachung durch den Host Sensor\u00a0ausschlie\u00dfen. Typische Exclusions sind h\u00e4ufig die Verzeichnisse der lokalen Antiviren-Software! Grunds\u00e4tzlich empfiehlt sich im Umkehrschluss, dass auch der Prozess bzw. das Verzeichnis des Host Sensors bei der jeweiligen Antivirus-Software als Exclusion eingetragen werden sollte!<\/p>\n Jedes Vorkommnis auf einem Host oder auf der WatchGuard Firewall wird mit einem Threat Level bewertet. Die Bewertung reicht von 0 bis 10. Als Faustregel kann man alles unterhalb von 5 ignorieren, deshalb sind in der TDR Website auch bei allen Bereichen die Filter standardm\u00e4\u00dfig auf Threat Level 6 und h\u00f6her eingestellt. Threat Level 5 und niedriger wird ausgeblendet.<\/p>\n In die Threat Level Bewertung flie\u00dfen Beobachtungen ein wie:<\/p>\n Diese Dinge sind jeweils f\u00fcr sich alleine betrachtet vielleicht unkritisch. Aber wenn ein Client verd\u00e4chtige Prozesse an die Cloud meldet und gleichzeitig die Firewall geblockte Zugriffe auf Botnetze oder Command&Control Server meldet, kann man “eins und eins zusammenz\u00e4hlen” und daraus auf ein konkretes Malware-Verhalten und damit eine akute Bedrohungslage zur\u00fcckschlie\u00dfen.<\/p>\n An dieser Stelle wurde das DEFCON-Konzept (bekannt aus einigen Kino-Filmen, z.B. War Games)\u00a0als Verteidigungs-Level f\u00fcr TDR adaptiert. Sie selbst<\/u> bestimmen, welches Level gerade aktiv ist (CYBERCON 5 bis CYBERCON 1), und Sie selbst<\/u> bestimmen dar\u00fcber, welche der von Ihnen selbst eingerichteten Policies aktuell gerade greifen soll. Sie selbst<\/u> k\u00f6nnen den CYBERCON jeweils schrittweise um 1 erh\u00f6hen oder erniedrigen. Je h\u00f6her die Bedrohungslage, desto niedriger der CYBERCON !<\/p>\n Unter CONFIGURATION => Policy<\/strong> legen Sie fest, welche Aktionen auf welchem Host bei welchem Threat Level und bei welchem eingestellten CYBERCON Level durchgef\u00fchrt werden sollen. Es gibt folgende Aktionen:<\/p>\n Weiterhin k\u00f6nnen Sie definieren, ob die obigen Aktionen\u00a0erlaubt oder verboten werden sollen.<\/p>\n Sie k\u00f6nnen beispielsweise folgendes Konzept konfigurieren:<\/p>\n Im Normalbetrieb stellen Sie das System auf CYBERCON 4. Nun lesen Sie in der Presse von einer neuen Ransomware-Angriffswelle. Sie stellen nun das CYBERCON herunter auf 3 und erlauben den Host Sensoren zus\u00e4tzliche Aktionen. Ist die Angriffswelle vorbei, stellen Sie das CYBERCON wieder auf 4, um m\u00f6gliche Nebeneffekte durch Registry Eingriffe des Host Sensors zu vermeiden.<\/p>\n","protected":false},"excerpt":{"rendered":" In dieser Artikel-Serie (bestehend aus 5 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben: 1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal 2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren 3. (Dieser Artikel:) Konfiguration von Threat Detection and Response im TDR Kundenportal 4. Weitere Hinweise zu TDR, Tipps und Tricks 5. … Weiterlesen Einrichten von Threat Detection and Response – Teil 3<\/span> Teil 3\u00a0– Konfiguration von\u00a0TDR\u00a0im TDR Kundenportal<\/h3>\n
Hosts zu Gruppen zusammenfassen<\/h4>\n
Konfiguration der Host Sensor-Einstellungen<\/h4>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/06\/2017-06-28_14h29_51-1024x647.png\")
<\/p>\n\u00dcberschreiben der Host Sensor-Einstellungen f\u00fcr einzelne Gruppen<\/h4>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/06\/2017-06-28_14h33_27-1024x376.png\")
<\/p>\nKonfiguration von Directory Exclusions f\u00fcr den Host-Sensor<\/h4>\n
Der Threat Level<\/h4>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/06\/2017-06-23_14h40_47-272x300.png\")
<\/p>\n\n
Das CYBERCON-Konzept<\/h4>\n
Konfiguration der Policies<\/h4>\n
\n
\n
Verwendung der CYBERCON Level<\/h4>\n