WatchGuard ThreatSync (XDR)

eXtended Detection and Response ist die Antwort, wenn es um komplexe und vielfältige Netzwerke geht. Hierzu hat WatchGuard einen eigenen XDR Service aufgebaut. Diese Lösung baut auf Ihrer schon vorhandenen WatchGuard Infrastruktur auf. Sie haben über die WatchGuard Unified Security Plattform® (USP) eine Übersicht über Ihre Sicherheitsvorfälle von Ihren Endpoints- und Firewalls, welches durch automatisierte Regeln auf Bedrohung reagiert. Die produktübergreifende Erkennung sorgt somit für eine effektive und effiziente Arbeit Ihres IT-Teams.

WatchGuard ThreatSync arbeitet mit der schon vorhandenen Telemetrie von Ihren WatchGuard Sicherheitslösungen. Somit ist keine zusätzliche Hardware oder Software on premise notwendig. Auch wenn Sie keine Endpoint Protection Lösung von WatchGuard haben, können Sie dennoch die Vorteile von ThreatSync nutzen. Wenn Sie schon in Verwendung der Total Security Suite sind, haben Sie Zugriff auf den EDR Core. Dieser ist ein Client, den Sie auf Ihren Endpoints installieren können und somit Ihre XDR Lösung mit Informationen füttern können. Jedoch sind die EDR Core Lizenzen auf das jeweilige Firebox Modell begrenzt und diese sind nicht zusätzlich zu erwerben. Aber somit können Sie schon ein Gefühl für ThreatSync entwickeln. Auch können Sie die Firebox Modelle selber in ThreatSync hinzufügen.

Das alles bringt aber nicht viel, wenn die Informationen nicht bearbeitet werden. Dazu können Sie automatisierte Regeln anlegen, die definieren was geschehen soll, wenn z.B. ein Vorfall der Stufe 8 erfasst wurde. Bei der Erstellung der Regel können Sie Bedingungen festlegen, unter anderem den Vorfallstyp (Malware, Bösartige URL, Bösartige IP, Intrusion-Versuch und vieles mehr) bestimmen, sowie auf welchen Geräten (Endpoint oder Firebox) und dann die Aktion auswählen: Gerät isolieren (unteres Bild), Ursprungs-IP Blockieren (nur externe IPs), Datei löschen oder den bösartigen Prozess abbrechen. Weitere Informationen erhalten Sie auf dem Datenblatt hier.

Hier ein Beispiel an hand des WatchGuard Best Practice:

WatchGuard Cloud Email Benachrichtigung

Um auch bei einem Vorfall benachrichtigt zu werden, können Sie in der WatchGuard Cloud unter Administration -> Benachrichtigungen -> Regeln erstellen. Hier können Sie wieder spezielle Bedingungen setzten, um eine Benachrichtigung zu beauftragen, ähnlich wie bei den Automatisierungsregeln.

Name: vergeben Sie der Regel einenen Namen.

Benachrichtigungsquelle: Sie können zwischen ThreatSync, WatchGuard Cloud, AuthPoint oder Ihren Cloud Geräten auswählen. Um für ThreatSync eine Benachrichtigung zu erstellen wählen Sie hier ThreatSync aus.

Benachrichtigungstyp: hier können Sie zwischen neuer Vorfall, Aktion ausgeführt oder Vorfall archiviert entscheiden.

Beschreibung: fügen Sie eine passende Beschreibung zu Ihrer Regel hinzu.

Risiko von.. bis.. : legen Sie ein Bereich fest, welcher Grad von Risiko beachtet werden soll.

Vorfallstyp: welche Art von Vorfällen berücksichtigt werden sollen.

Gerätetyp: legen Sie fest ob Firebox oder / und Endpoint überprüft werden sollen.

Zustellmethode: Zustellung per E-Mail (kein eigener Mail Server benötigt).

Häufigkeit: legen Sie fest, ob alle Warnungen verschickt werden sollen oder z.B. nur bis zu 4 Warnungen pro Tag.

Betreff: wählen Sie einen Betreff für die Email Benachrichtigung.

*Empfänger: wählen Sie eine Email Adresse aus wohin die Benachrichtigung verschickt werden soll.

* Diese Felder müssen ausgefüllt werden

WatchGuard hat am 19.09.2023 den führenden Anbieter im Bereich „Network threat Detection and Response“ aufgekauft und somit sich im Bereich XDR / NDR erweitert. Weitere Infos erhalten Sie hier.

ThreatSync können Sie durch die WatchGuard Endpoint Protection Plattform verwenden. Hierzu brauchen Sie die WatchGuard Endpoint Security oder falls Sie die Total Security Suite im Einsatz haben, können Sie Mithilfe des EDR Core heute schon WatchGuard ThreatSync verwenden. Sie bekommen, abhängig von Ihrem Modell, zusätzlich EDR Core Lizenzen. Mithilfe der Tabelle können Sie ermitteln wie viele Lizenzen Sie bekommen.