Konfigurieren von NDR Essentials
NDR Essentials nutzt maschinelles Lernen, um den Datenverkehr Ihrer Firewall zu analysieren und Indikatoren für eine Gefährdung (Indicators of Compromise, IoCs) zu erkennen. NDR Essentials erkennt IP-Adressen und Domänen. Diesen wird ein Bedrohungswert zugewiesen und die Ereignisse protokolliert.
Anforderungen
Die Voraussetzungen sind wie folgt:
-
Sie müssen über ein XGS-Gerät verfügen.
Alle Firewalls der XGS-Serie, einschließlich der Firewalls Gen.1 und Gen.2, werden unterstützt.
Notiz
NDR Essentials unterstützt die folgenden Bereitstellungen nicht:
- Cloud-, virtuelle und Software-Appliances. Die Funktion wird auf diesen Firewalls nicht angezeigt.
- Aktiv-Aktiv-HA. Die Funktion ist für diese Bereitstellungen ausgegraut.
-
Sie müssen über eine Xstream Protection Bundle-Lizenz verfügen.
- Um die von NDR Essentials erkannten IoCs zu protokollieren, stellen Sie sicher, dass die Firewall-Regel, DNS, IPS und Entschlüsselungsfunktionen konfiguriert sind. Siehe Firewall-Konfigurationen für Bedrohungs-Feeds.
Zusammenfassung
Das Übersichts-Widget oben auf der Seite zeigt die Anzahl der überwachten Datenströme und die Anzahl der eindeutigen IoCs, die NDR Essentials identifiziert und nach Bedrohungswert gruppiert hat.
NDR Essentials verwendet die Details der ersten Verbindung, um den IoC zu identifizieren. Die Firewall fügt den IoC dann der Liste hinzu. Sobald der IoC in der Liste enthalten ist, kann die Firewall Protokolle erstellen, Benachrichtigungen senden und Berichte erstellen, sobald nachfolgender Netzwerkverkehr erkannt wird, der mit diesem IoC in Zusammenhang steht.
Konfigurieren von NDR Essentials
Sie können NDR Essentials aktivieren und Protokolle und Ausschlüsse in der Firewall konfigurieren.
Gehen Sie wie folgt vor:
- Einschalten NDR Essentials.
-
In Schnittstellen, können Sie Schnittstellen hinzufügen, sodass NDR Essentials neue IoCs anhand des durch sie fließenden Datenverkehrs identifizieren kann.
Gehen Sie wie folgt vor:
- Klicken Neues Element hinzufügen.
- Wählen Sie Ihre Schnittstellen aus.
- Klicken Ausgewählte Elemente anwendenWir empfehlen Ihnen, die Schnittstellen auszuwählen, über die der Großteil Ihres Internetverkehrs fließt oder bei denen das Risiko einer Kommunikation mit Command-and-Control-Servern (C2) besteht. Beispielsweise LAN-Anfragen an externe Ressourcen.
Weitere Informationen finden Sie unter Schnittstellen.
-
Wählen Sie den Verkehr Minimale Bedrohungsbewertung bei dem die Firewall Bedrohungen erkennt und protokolliert.
Die Standardeinstellung ist Hohes Risiko (Score 9 und 10) – Empfohlen.
-
Unter Aktionist die Option auf Bedrohungen protokollieren, da NDR Essentials derzeit nur Bedrohungen erkennt und protokolliert. Gehen Sie zu Systemdienste > Protokolleinstellungenund stellen Sie sicher, dass die Protokollierung aktiviert ist für Aktive Reaktion auf Bedrohungen.
Weitere Informationen zu Protokollen finden Sie unter Protokolleinstellungen.
-
Klicken Anwenden.
Tipp
Sie können eine Firewall-Regel erstellen, um IoCs zu blockieren. Fügen Sie die IoCs unter Zielnetzwerke. Sehen Block-IoCs.
Notiz
Die Anzahl der gespeicherten IoCs hängt von der Appliance-Größe ab. Größere Appliances können mehr IoCs speichern.
Schnittstellen
Sie können nur die folgenden Typen von Netzwerkschnittstellen auswählen, die zu den LAN- und DMZ-Zonen gehören:
- Physikalische Schnittstellen
- VLAN über physische Schnittstellen
- Link Aggregation Groups (LAG)
- Bridge-Schnittstellenmitglieder
Notiz
-
Wenn Sie keine Schnittstellen hinzufügen, erkennt NDR Essentials keine neuen IoCs. Die Firewall ergreift jedoch Maßnahmen basierend auf IoCs, die NDR bereits erkannt hat.
-
Wenn Sie die Bindung einer Schnittstelle an eine Zone aufheben, wird sie aus der Liste der für die NDR Essentials-Analyse überwachten Schnittstellen entfernt.
Notiz
Die folgenden Schnittstellen werden von NDR Essentials nicht unterstützt:
- ROTE Schnittstellen
- XFRM-Schnittstellen
- VLAN über LAG
- VLAN über Bridge
- Dedizierte Verwaltungsschnittstellen
Wählen Sie die Schnittstellen aus, über die der Großteil Ihres Internetverkehrs fließt oder bei denen das Risiko einer Kommunikation mit Command and Control (C2)-Servern besteht, beispielsweise LAN-Anfragen an externe Ressourcen.
Indem Sie nur diese wichtigen Schnittstellen überwachen, können Sie Sicherheitsbedrohungen effektiver erkennen und darauf reagieren, ohne den Datenverkehr in Ihrer gesamten Netzwerkinfrastruktur analysieren zu müssen.
Die Schnittstellenliste zeigt keine WAN-Schnittstellen an. Die Firewall muss nur eine Seite des Datenverkehrs überwachen, um IoCs zu identifizieren.
Notiz
NDR wird nur im LAN, in der DMZ und in benutzerdefinierten Zonen unterstützt. NDR wird in der WAN- oder WLAN-Zone nicht unterstützt.
Block-IoCs
Sie können eine Firewall-Regel erstellen, um von NDR Essentials identifizierte IP-Adressen und Domänen zu blockieren.
-
Suchen Sie die vom NDR identifizierten IoCs. Gehen Sie wie folgt vor:
- Stellen Sie per SSH und mit der IP-Adresse eine Verbindung zum Backend Ihrer Firewall her.
- Typ
5
Dann3
um auf die erweiterte Shell zuzugreifen. - Typ
cd /content/ndr
, um zum NDR-Ordner zu gelangen. - Typ
cat threatfeed.json
um die Bedrohungs-Feed-Datei zu öffnen.
-
Erstellen Sie für jeden identifizierten IoC einen IP- oder FQDN-Host.
-
Erstellen Sie eine Firewall-Regel, um jeden IoC zu blockieren.
Legen Sie als Ziel den IP- oder FQDN-Host fest, den Sie für das IoC erstellt haben.
Bedrohungsausschlüsse hinzufügen
Wenn Sie eine Quelle oder ein Ziel vom Active Threat Response-Scan ausschließen, gleicht die Firewall diesen Datenverkehr nicht mit den Bedrohungs-Feeds ab.
Um Bedrohungsausschlüsse hinzuzufügen, gehen Sie zum oberen Menü und klicken Sie auf Bedrohungsausschlüsse hinzufügen.
Weitere Informationen finden Sie unter Bedrohungsausschlüsse hinzufügen.
Bedrohungsindikatoren
Um einzelne IoCs in einem Bedrohungsfeed anzuzeigen und zu suchen, klicken Sie auf Bedrohungsindikatoren unter dem oberen Menü. Sie sehen die IoC-Namen, Bedrohungsbewertungen und Bedrohungsnamen. Sie können die IoCs nach IP-Adresse oder Domänennamen durchsuchen. Sie können auch nach Zeichenfolgen suchen. Wenn Sie beispielsweise nach „100“ suchen, werden Ihnen IoCs angezeigt, die die Zeichenfolge „100“ enthalten.
Protokolle
Um Ihre Protokolle anzuzeigen, klicken Sie auf Protokolle unter dem oberen Menü. Weitere Informationen finden Sie unter Protokolle und Warnungen für die aktive Bedrohungsreaktion.