In dieser Artikel-Serie (bestehend aus 5 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:<\/p>\n
1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal<\/a> Teil 4 (Weitere Hinweise zu TDR, Tipps und Tricks) <\/p>\n Hier finden Sie Informationen \u00fcber die Funktionsweise und Lizensierung von Threat Detection and Response.<\/a><\/p>\n Prinzipiell sollten die TDR und Virenscanner gegenseitig ausgeschlossen werden, d.h. beim Virenscanner sollte der Bereich des TDR unter<\/p>\n ausgeschlossen werden. Beim TDR der entsprechende Bereich des Virenscanners (abh\u00e4ngig vom jeweiligen Hersteller).<\/p>\n Typischerweise ist auf Servern m\u00f6glicherweise mit einer etwas h\u00f6heren Last zu rechnen. Hier kann man, um CPU-Resourcen zu sparen, das eine oder andere Feature des Host Sensors abschalten. Die folgenden Host Sensor Einstellungen beeinflussen die CPU-Last am meisten:<\/p>\n Man erkauft sich also zus\u00e4tzliche Server-Performance durch Abschalten der obigen Features mit demzufolge weniger Tests, also hat man schlimmstenfalls dadurch auch\u00a0weniger Sicherheit.<\/p>\n Direkt beim Systemstart kann es zu einer sp\u00fcrbaren CPU-Mehrbelastung kommen, da w\u00e4hrend der Bootphase der Host Sensor sein Baselining macht – also auf dem System schaut, welche Prozesse sich wie verhalten. Beim Startup im Prevention-Modus werden auch einige zus\u00e4tzliche Honeypot-Dateien angelegt; auch dies f\u00fchrt zu einer kurzzeitigen Mehrbelastung auf dem System.<\/p>\n Im laufenden Betrieb eines typischen Office-PCs sollte man aber keinen Unterschied bemerken. Die zus\u00e4tzliche CPU-Last durch den Host Sensor sollte typisch im niedrigen 1-stelligen Prozentbereich liegen.<\/p>\n Gelegentlich hat man den Fall, dass manche PCs keinen direkten Internetzugriff haben (sollen). Wenn auf diesen PCs der TDR Host Sensor installiert wird, ben\u00f6tigt man ein paar zus\u00e4tzliche Freischaltungen in der Firewall. Nach der Freischaltung von folgenden FQDNs hat es in meinem Test-Szenario funktioniert; das kann sich leider jedoch mit Updates des TDR Host Sensors \u00e4ndern. Ich werde versuchen, die Liste hier aktuell zu halten.<\/p>\n Ben\u00f6tigt werden folgende FQDNs in HTTP(!) und HTTPS (genauer, ein Teil davon in HTTP, der Rest in HTTPS). Der Einfachheit halber empfehle ich einen Alias “Grp_EXT_TDR” o.\u00e4. anzulegen, der dann einfach im To-Feld f\u00fcr eine HTTP Packet Filter Policy und eine HTTPS Packet Filter Policy verwendet wird. Der Alias ben\u00f6tigt folgenden Inhalt:<\/p>\n TLDR; nein.<\/p>\n Da der Host Sensor schnell an zus\u00e4tzliche Bedrohungen angepasst werden muss, wird dieser automatisch aktualisiert \u00e4hnlich wie ein Virenscanner. Da der Host Sensor dauerhaft mit seiner zentralen Cloud-Instanz in Verbindung steht, muss er auch immer aktuell sein, sonst k\u00f6nnte die Cloud-Plattform bei Bedarf nicht erweitert werden (Feature Updates). Daher folgt: das automatische Update des Host Sensors kann nicht unterbunden werden.<\/p>\n Der Host Sensor schreibt ein Log nach<\/p>\n In dieser Artikel-Serie (bestehend aus 5 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben: 1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal 2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren 3. Konfiguration von Threat Detection and Response im TDR Kundenportal\u00a0 4. (Dieser Artikel:) Weitere Hinweise zu TDR, Tipps und Tricks 5. … Weiterlesen Einrichten von Threat Detection and Response – Teil 4<\/span>
\n2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren<\/a>
\n3. Konfiguration von Threat Detection and Response im TDR Kundenportal\u00a0<\/a>
\n4. (Dieser Artikel:) Weitere Hinweise zu TDR, Tipps und Tricks
\n<\/strong>5. Best Practices<\/a><\/p>\nTeil 4\u00a0–\u00a0Weitere Hinweise zu TDR, Tipps und Tricks<\/h3>\n
TDR und Virenscanner<\/h4>\n
C:\\Program Files (x86)\\WatchGuard\\Threat Detection and Response\\<\/pre>\n
TDR auf Server-Betriebssystemen<\/h3>\n
\n
TDR und Performance im Allgemeinen<\/h4>\n
TDR bei PCs ohne direkten Internetzugriff<\/h4>\n
\n
Kann man TDR Updates verhindern?<\/h4>\n
Gibt es ein Log des TDR Host Sensors?<\/h4>\n
C:\\Windows\\Temp\\host_sensor.log<\/pre>\n","protected":false},"excerpt":{"rendered":"