Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=active-threat-response-ndr-essentials

NDR Essentials konfigurieren

NDR Essentials nutzt maschinelles Lernen, um den Datenverkehr über Ihre Firewall zu analysieren und Indikatoren für eine Kompromittierung (IoCs) zu erkennen. NDR Essentials erkennt IP-Adressen und Domains, ordnet ihnen eine Bedrohungsbewertung zu und protokolliert die Ereignisse.

Anforderungen

Die Anforderungen lauten wie folgt:

  1. Sie benötigen ein XGS-Gerät.

    Alle Firewalls der XGS-Serie, einschließlich der Gen.1- und Gen.2-Firewalls, werden unterstützt.

    Notiz

    NDR Essentials unterstützt die folgenden Bereitstellungen nicht:

    • Cloud-, virtuelle und Software-Appliances. Diese Funktion ist auf diesen Firewalls nicht verfügbar.
    • Aktiv-aktiv HA. Die Funktion ist für diese Bereitstellungen ausgegraut.

  2. Sie benötigen eine Xstream Protection Bundle-Lizenz.

  3. Um die von NDR Essentials erkannten Indikatoren für Kompromittierung (IoCs) zu protokollieren, stellen Sie sicher, dass die Firewall-Regeln, DNS, IPS und Entschlüsselungsfunktionen konfiguriert sind. Siehe Firewall-Konfigurationen für Bedrohungsfeeds.

Zusammenfassung

Das Übersichts-Widget oben auf der Seite zeigt die Anzahl der überwachten Datenflüsse sowie die Anzahl der eindeutigen IoCs, die NDR Essentials identifiziert und nach Bedrohungsbewertung gruppiert hat.

NDR Essentials nutzt die Details der ersten Verbindung, um den IoC zu identifizieren. Die Firewall fügt den IoC anschließend der Liste hinzu. Sobald der IoC in der Liste enthalten ist, kann die Firewall Protokolle generieren, Benachrichtigungen senden und Berichte erstellen, sobald nachfolgender Netzwerkverkehr erkannt wird, der mit diesem IoC in Verbindung steht.

NDR Essentials konfigurieren

Sie können NDR Essentials aktivieren und Protokolle und Ausnahmen in der Firewall konfigurieren.

Gehen Sie wie folgt vor:

  1. Einschalten NDR-Grundlagen.

  2. In Schnittstellen: Sie können Schnittstellen hinzufügen, damit NDR Essentials neue IoCs aus dem durch sie fließenden Datenverkehr identifizieren kann.

    Gehen Sie wie folgt vor:

    1. Klicken Neuen Eintrag hinzufügen.
    2. Wählen Sie Ihre Schnittstellen aus.
    3. Klicken Ausgewählte Elemente anwenden: Wir empfehlen Ihnen, die Schnittstellen auszuwählen, über die der Großteil Ihres Internetverkehrs läuft oder die das Risiko einer Kommunikation mit Command-and-Control-Servern (C2-Servern) bergen. Dies betrifft beispielsweise LAN-Anfragen an externe Ressourcen.

    Weitere Informationen finden Sie unter Schnittstellen.

  3. Wählen Sie die Standort des Rechenzentrums an die Ihr Datenverkehr zur Analyse gesendet wird.

    Standardmäßig wählt das System die Region mit der niedrigsten Latenz aus.

    Notiz

    Wenn Sie den Standort des Rechenzentrums ändern, können die laufenden Analysen verloren gehen.

  4. Wählen Sie den Verkehr aus Mindestbedrohungswert an der Stelle, an der die Firewall Bedrohungen erkennt und protokolliert.

    Die Standardeinstellung ist Hohes Risiko (Punktzahl 9 und 10) – Empfohlen.

  5. Unter Aktion: Die Option ist auf eingestellt Bedrohungen protokollieren: Da NDR Essentials derzeit nur Bedrohungen erkennt und protokolliert, gehen Sie zu Systemdienste > Protokolleinstellungen: und stellen Sie sicher, dass die Protokollierung aktiviert ist für Reaktion auf aktive Bedrohungen.

    Weitere Informationen zu Protokollen finden Sie unter Protokolleinstellungen.

  6. Klicken Anwenden.

Tipp

Sie können eine Firewall-Regel erstellen, um IoCs zu blockieren. Fügen Sie die IoCs unter folgendem Pfad hinzu: Zielnetzwerke. Sehen Block-IoCs.

Notiz

Die Anzahl der gespeicherten IoCs hängt von der Gerätegröße ab. Größere Geräte können mehr IoCs speichern.

Schnittstellen

Sie können nur die folgenden Arten von Netzwerkschnittstellen auswählen, die zu den LAN- und DMZ-Zonen gehören:

  • Physikalische Schnittstellen
  • VLAN über physische Schnittstellen
  • Link-Aggregationsgruppen (LAG)
  • Brückenschnittstellenmitglieder

Notiz

  • Wenn Sie keine Schnittstellen hinzufügen, erkennt NDR Essentials keine neuen Indikatoren für Kompromittierung (IoCs). Die Firewall wird jedoch auf Basis der von NDR bereits erkannten IoCs Maßnahmen ergreifen.

  • Wenn Sie eine Schnittstelle von einer Zone trennen, wird sie aus der Liste der Schnittstellen entfernt, die für die NDR Essentials-Analyse überwacht werden.

Notiz

Die folgenden Schnittstellen werden von NDR Essentials nicht unterstützt:

  • RED-Schnittstellen
  • XFRM-Schnittstellen
  • VLAN über LAG
  • VLAN über Brücke
  • Dedizierte Management-Schnittstellen

Wählen Sie die Schnittstellen aus, über die der größte Teil Ihres Internetverkehrs fließt oder die das Risiko bergen, mit Command-and-Control-Servern (C2) zu kommunizieren, z. B. LAN-Anfragen an externe Ressourcen.

Durch die Überwachung dieser zentralen Schnittstellen können Sie Sicherheitsbedrohungen effektiver erkennen und darauf reagieren, ohne den Datenverkehr Ihrer gesamten Netzwerkinfrastruktur analysieren zu müssen.

Die Schnittstellenliste zeigt keine WAN-Schnittstellen an. Die Firewall muss nur eine Seite des Datenverkehrs überwachen, um IoCs zu identifizieren.

Notiz

NDR wird nur im LAN, in der DMZ und in benutzerdefinierten Zonen unterstützt. Im WAN oder in der WLAN-Zone wird NDR nicht unterstützt.

Block-IoCs

Sie können eine Firewall-Regel erstellen, um von NDR Essentials identifizierte IP-Adressen und Domänen zu blockieren.

  1. Ermitteln Sie die von NDR identifizierten IoCs. Gehen Sie dabei wie folgt vor:

    • Stellen Sie über SSH und die IP-Adresse eine Verbindung zum Backend Ihrer Firewall her.
    • Typ 5 Dann 3 um auf die erweiterte Shell zuzugreifen.
    • Typ cd /content/ndr Zum NDR-Ordner wechseln.
    • Typ cat threatfeed.json um die Bedrohungsfeed-Datei zu öffnen.

  2. Erstellen Sie für jeden identifizierten IoC einen Host mit IP-Adresse oder FQDN.

  3. Erstellen Sie eine Firewall-Regel, um jeden IoC zu blockieren.

    Legen Sie als Ziel die IP-Adresse oder den FQDN des Hosts fest, den Sie für den IoC erstellt haben.

Bedrohungsausschlüsse hinzufügen

Wenn Sie eine Quelle oder ein Ziel von der Active Threat Response-Überprüfung ausschließen, überprüft die Firewall diesen Datenverkehr nicht anhand der Bedrohungsfeeds.

Um Bedrohungsausschlüsse hinzuzufügen, gehen Sie zum oberen Menü und klicken Sie auf Bedrohungsausschlüsse hinzufügen.

Weitere Informationen finden Sie unter Bedrohungsausschlüsse hinzufügen.

Bedrohungsindikatoren

Um einzelne IoCs in einem Bedrohungsfeed anzuzeigen und zu suchen, klicken Sie hier. Bedrohungsindikatoren Im oberen Menü finden Sie die Namen der Indikatoren für Kompromittierung (IoCs), deren Bedrohungsbewertungen und die Namen der Bedrohungen selbst. Sie können die IoCs anhand der IP-Adresse oder des Domainnamens durchsuchen. Auch die Suche nach bestimmten Zeichenketten ist möglich. Wenn Sie beispielsweise nach „100“ suchen, werden Ihnen alle IoCs angezeigt, die die Zeichenkette „100“ enthalten.

Protokolle

Um Ihre Protokolle anzuzeigen, klicken Sie hier. Protokolle unter dem oberen Menüpunkt. Weitere Informationen finden Sie unter Protokolle und Warnmeldungen für die aktive Bedrohungsabwehr.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen